Úttekt á notkun Reykjanesbæjar á skýjalausn Google í grunnskólastarfi
Mál nr. 2022020416
Persónuupplýsingar barna njóta sérstakrar verndar. Þegar nota á upplýsingatæknikerfi í grunnskólastarfi er mikilvægt að hugað sé að þeirri vernd og farið að kröfum persónuverndarlöggjafarinnar til hins ýtrasta.
Í þessu máli notuðu grunnskólar Reykjanesbæjar upplýsingatæknikerfi án þess að gætt væri að kröfum persónuverndarlöggjafarinnar. Úttekt Persónuverndar á notkun kerfisins leiddi í ljós margvísleg brot sveitarfélagsins á löggjöfinni.
----
Persónuvernd hefur lagt fyrir Reykjanesbæ að færa vinnslu persónuupplýsinga grunnskólanemenda í nemendakerfi Google, Google Workspace for Education, til samræmis við persónuverndarlöggjöfina. Að auki hefur 2.500.000 króna stjórnvaldssekt verið lögð á Reykjanesbæ.
Úttektin var ein af fimm úttektum sem Persónuvernd gerði á notkun skýjaþjónustu í grunnskólastarfi hjá stærri sveitarfélögum landsins. Voru þær þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins. Úttektir Persónuverndar lutu að því hvernig persónuupplýsingar grunnskólanemenda sveitarfélaganna voru unnar í Google-nemendakerfinu. Leiddu úttektirnar í ljós að Google vinnur persónuupplýsingar grunnskólanemenda umfram fyrirmæli sveitarfélaganna og þótti ekki sýnt fram á að sú vinnsla rúmaðist innan þess tilgangs sem sveitarfélögin hafa skilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Niðurstaða Persónuverndar var að um væri að ræða margvísleg brot Reykjanesbæjar á persónuverndarlöggjöfinni með notkun nemendakerfisins. Þótti Reykjanesbær ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila og vinnslusamningur við Google uppfyllti ekki öll skilyrði persónuverndarlöggjafarinnar. Að auki tilgreindi Reykjanesbær ekki tilgang einstakra vinnsluaðgerða með nægilega skýrum hætti og uppfyllti ekki ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda skulu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni. Enn fremur sinnti Reykjanesbær ekki skyldum sínum sem lúta að geymslutakmörkun, lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd. Þá gerði Reykjanesbær ekki tímanlega mat á áhrifum á persónuvernd vegna vinnslunnar auk þess sem mat sveitarfélagsins uppfyllti ekki lágmarkskröfur persónuverndarreglugerðarinnar. Reykjanesbær tryggði jafnframt ekki öruggan flutning persónuupplýsinga til Bandaríkjanna fram til 10. júní sl. þegar jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt.
Við ákvörðun um sekt var m.a. litið til þess að brot Reykjanesbæjar vörðuðu persónuupplýsingar barna sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, upplýsingar um hrein einkamálefni barna voru skráðar í nemendakerfið og líkur þóttu á að skráðar væru í kerfið viðkvæmar persónuupplýsingar þeirra. Þá var horft til þess að áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana. Á hinn bóginn var einnig litið til þess að ekkert tjón virtist hafa orðið vegna brotanna, Reykjanesbær svaraði erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti og framkvæmdi mat á áhrifum á persónuvernd vegna vinnslunnar eftir að úttektin hófst og endurskoðaði verklag í tengslum við varðveislutíma persónuupplýsinga í kerfinu.
Ákvörðun
vegna úttektar á notkun Reykjanesbæjar á skýjalausn Google í grunnskólastarfi í máli nr. 2022020416:
I.
Málsmeðferð og afmörkun máls
Með bréfi Persónuverndar til Reykjanesbæjar 25. febrúar 2022 var boðuð úttekt stofnunarinnar á notkun sveitarfélagsins á skýjaþjónustu (e. Cloud based services) í grunnskólastarfi. Úttektin var þáttur í víðtækara verkefni sem unnið var að frumkvæði Evrópska persónuverndarráðsins (hér eftir EDPB) þar sem aðildarríki ráðsins sinna sameiginlegum viðfangsefnum á samræmdan hátt. EDPB setti notkun opinberra aðila á skýjaþjónustu í forgang árið 2022 og af því tilefni ákvað Persónuvernd að beina úttektum að stærri sveitarfélögum landsins og notkun þeirra á skýjaþjónustu í grunnskólastarfi.
Framangreind ákvörðun var einnig tekin með hliðsjón af stefnu Persónuverndar í úttektum og frumkvæðisathugunum fyrir árið 2022. Samkvæmt stefnunni var vinnsla persónuupplýsinga barna í hvers kyns snjalllausnum og hugbúnaðarkerfum í forgangi á því ári en auk þess leggur Persónuvernd ávallt áherslu á persónuvernd barna með hliðsjón af því að persónuupplýsingar þeirra njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni. Jafnframt var litið til niðurstöðu frumkvæðisathugunar stofnunarinnar í máli nr. 2021040879, þar sem athuguð var innleiðing skýjalausnar Seesaw Learning Inc. (hér eftir Seesaw) í grunnskólum Reykjavíkurborgar og komist að þeirri niðurstöðu að hún hefði ekki verið í samræmi við persónuverndarlöggjöfina.
Úttektin var framkvæmd með þeim hætti að Persónuvernd sendi Reykjanesbæ spurningalista, með tölvupósti 25. febrúar 2022, sem laut að persónuverndarsjónarmiðum varðandi val og notkun á skýjaþjónustu í grunnskólastarfi. Svör Reykjanesbæjar, ásamt fylgigögnum, bárust 29. apríl og 2. maí s.á.
Með bréfi 19. maí 2022 tilkynnti Persónuvernd Reykjanesbæ að úttektin yrði afmörkuð við notkun sveitarfélagsins á skýjalausn Google, Google Workspace for Education, í grunnskólastarfi (hér eftir Google-nemendakerfið). Af því tilefni óskaði Persónuvernd frekari upplýsinga og gagna. Svör Reykjanesbæjar, ásamt fylgigögnum, bárust 17. júní s.á. Með hliðsjón af þeim svörum óskaði Persónuvernd jafnframt frekari upplýsinga, með bréfum til sveitarfélagsins 4. ágúst s.á. og 16. janúar 2023. Svör Reykjanesbæjar bárust 8. september 2022 og 7. febrúar 2023.
Í framangreindum bréfum hefur Persónuvernd einkum óskað upplýsinga og gagna sem lúta að:
1. Vinnsluskrá.
2. Vinnslusamningi við Google og öðrum samningum um þjónustuna.
3. Fyrirmælum sem Reykjanesbær hefur gefið Google vegna vinnslunnar.
4. Vinnsluheimild.
5. Mati á áhrifum á persónuvernd.
6. Viðbótarverndarráðstöfunum í tengslum við mögulega miðlun persónuupplýsinga til Bandaríkjanna.
Með bréfi 10. júlí 2023 sendi Persónuvernd Reykjanesbæ skýrslu um úttektina þar sem gerð var grein fyrir niðurstöðum yfirferðar stofnunarinnar á gögnum málsins. Reykjanesbæ var veitt færi á að koma á framfæri athugasemdum við efni skýrslunnar. Að auki var Reykjanesbæ veitt færi á að koma á framfæri athugasemdum vegna mögulegra fyrirmæla Persónuverndar og álagningar stjórnvaldssektar. Með bréfi 31. s.m. óskaði Reykjanesbær nánari upplýsinga og skýringa varðandi tiltekin atriði í skýrslu Persónuverndar. Persónuvernd svaraði með bréfi 30. ágúst s.á. Athugasemdir Reykjanesbæjar við úttektarskýrslu Persónuverndar og andmæli vegna mögulegra fyrirmæla og álagningar stjórnvaldssektar, ásamt fylgigögnum, bárust 15. september s.á.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi ákvörðun.
II.
Helstu gögn málsins
1.
Vinnsluskrá
Í svörum Reykjanesbæjar kemur fram að tveir grunnskólar sveitarfélagsins noti Google-nemendakerfið og haldi hvor skóli um sig utan um eigin vinnsluskrá. Vinnsluskrárnar eru sambærilegar. Samkvæmt þeim er unnið með eftirfarandi persónuupplýsingar um nemendur í kerfinu í tilgreindum tilgangi:
1. Grunnskráning nemenda í kerfið: Nöfn nemenda, árgangur/bekkur og netföng. Tilgangur er kennslufræðilegur og veiting þjónustu við nemendur.
2. Lokun aðgangs: Nöfn nemenda, árgangur/bekkur og netföng. Tilgangur er að fjarlægja persónuupplýsingar nemenda sem eru ekki lengur virkir í kerfinu og persónuupplýsingar sem eru ekki lengur nauðsynlegar.
3. Verkefnavinna nemenda: Úrlausn verkefna, endurgjöf, leiðbeiningar og skipulag. Greint er frá því að form verkefna geti verið skriflegt, myndefni, hljóð eða önnur margmiðlun. Nemendur hafi aðgang að dagatali til að skipuleggja nám sitt og geti deilt verkefnum með öðrum nemendum sé um samvinnu að ræða. Kennari geti gefið almenna endurgjöf og leiðsagnarmat, en einkunnir séu ekki gefnar í kerfinu. Tilgangur er að halda utan um og fara yfir verkefni nemenda. Verkefni nemenda séu öll varðveitt á sama stað, sem auðveldi vinnu nemenda og kennara.
4. Skráning nemenda í valgreinar/valhópa: Nöfn nemenda, árgangur/bekkur og netföng. Tilgangur er að skrá nemendur í ýmsa hópa.
5. Námsmat: Nöfn nemenda, hópur, ártal og mat. Tilgangur er að fylgjast með verkefnum nemenda og frammistöðu þeirra samkvæmt hæfnisviðmiðum aðalnámskrár.
6. Samskiptasvæði nemenda og kennara: Nöfn, netföng, almenn samskipti og leiðbeiningar. Fram kemur að samskipti milli nemenda og kennara séu einkum í formi leiðbeininga, fyrirmæla og upplýsinga varðandi námið. Tilgangur er kennslufræðilegur og veiting þjónustu við nemendur.
7. Samskipti kennara og nemenda í gegnum tölvupóstkerfi: Nöfn nemenda, netföng og efni sem nemendur skrá í tölvupóst hverju sinni. Fram kemur að öryggi og mögulegar hættur í tengslum við notkun tölvupóstkerfisins séu markvisst kenndar nemendum og frávikagreiningar berist í pósti til umsjónarmanna kerfisins. Tilgangur er kennslufræðilegur.
2.
Mat á áhrifum á persónuvernd
Hér verður gerð grein fyrir því helsta sem fram kemur í mati Reykjanesbæjar á áhrifum á persónuvernd vegna umræddrar vinnslu persónuupplýsinga. Matið fylgdi með svörum sveitarfélagsins frá 15. september 2023 en er ódagsett.
Í matinu er lýsing á vinnsluaðgerðum. Fram kemur að Google-nemendakerfið sé nýtt af tveimur af sjö grunnskólum sveitarfélagsins. Misjafnt sé hvaða þjónustu nemendur hafi aðgang að eftir aldri þeirra. Nemendakerfið sé notað fyrir verkefnavinnu, verkefnaskil og endurgjöf. Með matinu fylgja vinnsluskrár skólanna.
Í mati Reykjanesbæjar er farið yfir lögmæti og tilgang vinnslu. Vísað er til þess að vinnslan fari fram á grundvelli 5. Tölul. 9. Gr. Laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, þar sem grunnskólum ber að framfylgja lögbundnum verkefnum sem þeim er falið með lögum nr. 91/2008 um grunnskóla og aðalnámskrá grunnskóla. Greint er frá því að tilgangur vinnslunnar sé að nýta Google-nemendakerfið sem kennslu- og námsumsjónarkerfi í tveimur grunnskólum sveitarfélagsins.
Um mat á því hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar segir að aðgangi skólanna sé stýrt miðlægt af Reykjanesbæ og að hann sé bundinn við fyrir fram gefnar stillingar til að takmarka vinnslu persónuupplýsinga. Tölvuumsjónarfólk grunnskólanna geti eingöngu breytt stillingum sem miði að því að takmarka enn frekar aðgang nemenda. Þá segir að aðgangur nemenda sé nú byggður upp með sýndarheitum og að eingöngu kennari hafi aðgang að skrá þar sem sýndarheiti og nafn nemanda er tengt saman. Að auki sé öll viðbótarþjónusta nú stillt með þeim hætti að hún safni ekki sögu með notkun svokallaðrar Incognito virkni. Hvað varðveislu gagna varðar kemur fram að í lok hvers skólaárs fái nemandi/forsjáraðili leiðbeiningar um grisjun gagna og vistun þeirra utan Google-nemendakerfisins. Í lok hvers skólastigs sé framkvæmd miðlæg eyðing úr gagnageymslum Google. Þegar nemandi ljúki skólagöngu eða flytji um skóla sé gögnum eytt úr kerfinu og notandaaðgangi lokað.
Í matinu er yfirlit yfir áhættu fyrir réttindi og frelsi hinna skráðu og aðgerðir til að bregðast við. Greindir eru 29 áhættuþættir og verður hér aðeins fjallað um þá helstu. Í fyrsta lagi er nefnd sú áhætta að persónuupplýsingar séu varðveittar í landi sem telst ekki öruggt samkvæmt persónuverndarlögum. Áhættan er metin mjög líkleg og áhrif mikil. Tekið er fram að búið sé að innleiða Plus-þjónustuleið nemendakerfisins til að bregðast við áhættunni auk þess sem ekki sé notast við persónuauðkenni nemenda í kerfinu. Önnur áhætta sem verður hér nefnd er að nemendur skrái persónuupplýsingar í verkefni í kerfinu. Tekið er fram að nemendur hafi nokkuð vald um hvaða efni þau setji inn í verkefni sín. Líkur og áhrif áhættunnar eru metnar miðlungs. Vísað til sömu ráðstafana, þ.e. að Plus-þjónustuleið nemendakerfisins hafi verið innleidd og ekki sé lengur notast við persónuauðkenni nemenda í kerfinu. Í þriðja lagi verður hér nefnd sú áhætta að viðbætur sem stefni persónuupplýsingum í hættu séu gerðar aðgengilegar nemendum. Áhættan er metin ólíkleg en áhrif mikil. Tekið er fram að öll viðbótarþjónusta sé í svokallaðri Incognito-stillingu. Þá er einnig nefnd sú áhætta að persónuupplýsingar séu unnar umfram þörf, s.s. þegar notendur notast við Chrome-vafrann eða tiltekna viðbótarþjónustu t.d. Google Earth. Líkur eru metnar miðlungs og áhrif mjög mikil. Tekið er fram að lokað hafi verið fyrir að notkunarupplýsingar séu skráðar þegar Chrome-vafrinn er notaður. Loks verður hér nefnd sú áhætta að annálagögn verði til við notkun tækis sem geri notendur persónugreinanlega t.d. þegar nemendur taki tæki heim. Líkur og áhrif áhættunnar eru metin miðlungs. Tekið er fram að almenna reglan sé sú að tæki sé ekki tekið með heim úr skólanum. Í þeim tilvikum sem nemendur taki tæki með heim þurfi að sækja um leyfi kennara og undirrita samning vegna heimaláns á Chromebook/spjaldtölvu.
Í niðurstöðu matsins er greint frá því að gripið verði til tilgreindra ráðstafana til að takmarka áhrif á réttindi og frelsi hinna skráðu. Með hliðsjón af þeim ráðstöfunum, tilgangi vinnslunnar og þeim hagsmunum sem henni er ætlað að tryggja, er niðurstaða matsins að áhætta fyrir réttindi og frelsi hinna skráðu sé ásættanleg í skilningi persónuverndarlaga. Persónuverndarfulltrúi Reykjanesbæjar tekur undir þá niðurstöðu.
3.
Vinnslusamningur og aðrir skilmálar Google
3.1 Vinnslusamningur
Með svörum Reykjanesbæjar fylgdi afrit af vinnslusamningi sveitarfélagsins við Google (e. Data Processing Amendment to Google Workspace and/or Complementary Product Agreement) frá 24. september 2021. Samkvæmt svörum sveitarfélagsins tók vinnslusamningurinn minniháttar breytingum 14. ágúst 2023. Hér verður eingöngu farið yfir þann samning sem var í gildi milli aðila þegar úttektin hófst og verður látið nægja að rekja það helsta sem þar kemur fram.
Vinnslusamningurinn inniheldur gagnkvæmar skuldbindingar Google og viðskiptavinarins, þ.e. Reykjanesbæjar. Samkvæmt samningnum er Google vinnsluaðili persónuupplýsinga viðskiptavinarins og Reykjanesbær er ábyrgðaraðili viðkomandi vinnslu. Þá getur viðskiptavinurinn einnig verið vinnsluaðili hins eiginlega ábyrgðaraðila, en í því tilviki er Google undirvinnsluaðili eins og nánar er fjallað um í grein 5.1 í samningnum. Persónuupplýsingar viðskiptavinarins eru skilgreindar í grein 2.1, en þar segir á ensku:
Customer Personal Data means the personal data contained within the Customer Data, including any special categories of personal data defined under European Data Protection Law.
Noti viðskiptavinurinn viðbótarþjónustur Google (e. Additional Products) sé hægt að veita þeirri þjónustu aðgang að upplýsingum sem unnið er með í Google-nemendakerfinu í þeim tilgangi að þjónustur geti virkað saman. Í grein 5.3 í vinnslusamningi aðila er tekið fram að vinnslusamningurinn gildi ekki um vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google, þ. á m. hvað varðar miðlun persónuupplýsinga úr Google-nemendakerfinu til slíkrar viðbótarþjónustu.
Í viðauka 1 við samninginn (e. Appendix 1) er að finna tilgreiningu á tegundum persónuupplýsinga og flokkum skráðra einstaklinga, í samræmi við 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þar er m.a. tiltekið að um sé að ræða þær persónuupplýsingar sem er miðlað til Google með skýjaþjónustunni, þ.e. Google-nemendakerfinu, af viðskiptavininum eða notendum kerfisins (e. End Users). Í viðaukanum er jafnframt að finna lýsingu á viðfangsefni vinnslunnar, tímalengd hennar, eðli og tilgangi. Fram kemur að viðfangsefni vinnslunnar sé að veita þjónustuna samkvæmt tilvísuðum þjónustusamningi (e. Google Workspace Service Summary) og tæknilega aðstoð í tengslum við hana. Vinnslan sé í gangi á meðan samningurinn er í gildi milli aðila og þar til persónuupplýsingum viðskiptavinarins hefur verið eytt. Google vinni persónuupplýsingar viðskiptavinarins í þeim tilgangi að veita þjónustuna og tæknilega aðstoð í samræmi við þá skilmála sem gilda.
Í grein 5.2.1 í vinnslusamningi aðila er vikið að því að Reykjanesbær skuli gefa Google fyrirmæli um vinnslu persónuupplýsinga viðskiptavinarins, en þar segir á ensku:
5.2.1 Customer's Instructions. Customer instructs Google to process Customer Personal Data only in accordance with applicable law: (a) to provide, secure and monitor, the Services and TSS; (b) as further specified via Customer's use of the Services and any applicable technical support; (c) as documented in the form of the Agreement, including these Terms; and (d) as further documented in any other written instructions given by Customer and acknowledged by Google as constituting instructions for purposes of these Terms (collectively, the "Instructions").
Þá hefur vinnslusamningurinn að geyma ýmis ákvæði er varða öryggi persónuupplýsinga. T.a.m. kemur fram í grein 7.1.1 að Google muni innleiða og viðhalda öryggisráðstöfunum til að vernda upplýsingar viðskiptavinarins gegn óviljandi eða ólögmætri eyðingu eða því að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi. Þeim öryggisráðstöfunum er nánar lýst í viðauka 2 við vinnslusamninginn. Í grein 7.1.2 er vikið að því að Google tryggi að þeir starfsmenn, verktakar og undirvinnsluaðilar, sem hafi aðgang að persónuupplýsingum viðskiptavinarins, gangist undir trúnaðarskyldu. Samkvæmt grein 7.5.2 a. er Reykjanesbæ heimilt að framkvæma eða fá þriðja aðila til að framkvæma úttekt til að sannreyna hlítni Google við vinnslusamninginn.
Vinnslusamningurinn hefur einnig að geyma ákvæði um flutning persónuupplýsinga til þriðju landa. Samkvæmt grein 10.1 er Google heimilt að vinna með upplýsingar viðskiptavinarins í hverju því ríki sem Google eða undirvinnsluaðilar þess hafi staðfestu, að uppfylltum þeim kvöðum sem fram koma í öðrum ákvæðum 10. gr. og frekari kvöðum í þjónustuskilmálum. Vinnslusamningurinn hefur að geyma hlekk á stöðluð samningsákvæði vegna flutnings persónuupplýsinga til þriðju landa. Nánar verður vikið að flutningi persónuupplýsinga til þriðju landa í kafla III. 8 hér á eftir.
Í vinnslusamningnum er að auki fjallað um rétt Google til að nota undirvinnsluaðila við vinnslu persónuupplýsinga. Samningurinn hefur að geyma hlekk á yfirlit yfir undirvinnsluaðila Google, sem er aðgengilegt á vefsíðu fyrirtækisins. Samkvæmt grein 11.1 samþykkir Reykjanesbær að Google megi nota tilgreinda undirvinnsluaðila. Þá segir í grein 11.4 að Google skuli tilkynna Reykjanesbæ um nýja undirvinnsluaðila, a.m.k. 30 dögum áður en nýr undirvinnsluaðili hefur vinnslu persónuupplýsinga. Reykjanesbær hafi 90 daga, frá því að Google tilkynnir um nýja undirvinnsluaðila til að andmæla breytingunni með því að segja upp samningnum þegar í stað.
Þá er í vinnslusamningnum mælt fyrir um að Google muni aðstoða Reykjanesbæ við að tryggja að skyldur skv. 32.–36. gr. reglugerðar (ESB) 2016/679 séu uppfylltar, þ.e. í tengslum við öryggi vinnslu, tilkynningar um öryggisbresti við meðferð persónuupplýsinga, mat á áhrifum á persónuvernd og fyrirframsamráð, sbr. greinar 7.1.4, 7.2 og 8. Jafnframt er vikið að því í grein 9.2, að Google muni aðstoða Reykjanesbæ við að svara beiðnum í tengslum við réttindi skráðra einstaklinga.
Í vinnslusamningnum eru jafnframt ákvæði um eyðingu upplýsinga viðskiptavinarins. Samkvæmt grein 6.2 skal Google eyða eða skila upplýsingum viðskiptavinarins í samræmi við fyrirmæli Reykjanesbæjar. Eyðing upplýsinganna getur tekið allt að 180 daga, að því undanskildu að lög áskilji varðveislu upplýsinganna.
3.2 Aðrir skilmálar Google
3.2.1 Skilmálar Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu
Þegar viðskiptavinir kaupa aðgang að Google-nemendakerfinu eru þeir upplýstir um skilmála Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent). Þar segir að skólar kunni að veita Google tilteknar persónuupplýsingar nemenda og kennara, svo sem nafn og netfang þeirra, þegar Google-nemendakerfið er notað. Að auki kunni Google að safna tilteknum persónuupplýsingum beint frá notendum kerfisins, t.d. símanúmeri eða notendamynd (e. profile picture) eða öðrum upplýsingum sem notendur setja á Google-aðgang sinn. Einnig segir í skilmálunum að Google safni upplýsingum um notkun kerfisins, en nánar tiltekið segir á ensku:
Google also collects information based on the use of our services. This includes:
· device information, such as the hardware model, operating system version, unique device identifiers and mobile network information including the user's phone number;
· log information, including details of how a user used our service, device event information and the user's Internet protocol (IP) address;
· location information, as determined by various technologies including IP address, GPS and other sensors;
· unique application numbers, such as application version number; and
· cookies or similar technologies which are used to collect and store information about a browser or device, such as preferred language and other settings.
Skilmálarnir greina frá því að persónuupplýsingar notenda, sem safnað er þegar grunnþjónustur kerfisins eru notaðar (e. Core Services), séu eingöngu nýttar til að veita þá grunnþjónustu. Tekið er fram að upplýsingarnar séu ekki notaðar í markaðstilgangi (e. advertising purposes). Grunnþjónustur kerfisins eru m.a. Gmail, Google Chat, Google Docs, Google Drive og Google Meet. Í lok skilmálanna er að auki tekið fram að Google vinni persónuupplýsingar nemenda í grunnþjónustum Google-nemendakerfisins í samræmi við persónuverndarstefnu Google fyrir nemendakerfið (e. Google Workspace for Education Privacy Notice) og almennu persónuverndarstefnu Google. Nánar tiltekið segir á ensku:
By clicking 'I agree' below, you consent on behalf of your institution to Google’s processing of the personal information of students in the Core Services as described above and in the Google Workspace for Education Privacy Notice and the Google Privacy Policy, and agree to obtain parent or guardian consent for any Additional Services that you allow students under the age of 18 to use.
Þá segir í skilmálunum að almenna persónuverndarstefna Google (e. Google Privacy Policy) gildi um viðbótarþjónustur Google (e. Additional Services) sem viðskiptavinir geta kosið að nota samhliða grunnþjónustum nemendakerfisins.
3.2.2 Grunnþjónustur: Persónuverndarstefnur fyrir Google-nemendakerfið og skýjaþjónustu Google
Í persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) er greint frá því að Google safni tvenns konar upplýsingum þegar grunnþjónustur nemendakerfisins eru notaðar, annars vegar persónuupplýsingum viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar þjónustugögnum (e. Service Data). Hvað vinnslu þjónustugagna varðar er vísað til persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice). Í þeirri stefnu er að finna nánari lýsingu á vinnslu þjónustugagna, en þar segir á ensku:
Service Data is the personal information Google collects or generates during the provision and administration of the Cloud Services and related technical support, excluding any Customer Data and Partner Data.
Service Data consists of:
· Account information. We collect the data you or your organization provide when creating an account for Cloud Services or entering into a contract with us (username, names, contact details and job titles).
· Cloud payments and transactions. We keep reasonable business records of charges, payments, and billing details and issues.
· Cloud settings and configurations. We record your configuration and settings, including resource identifiers and attributes, and service and security settings for data and other resources.
· Technical and operational details of your usage of Cloud Services. We collect information about usage, operational status, software errors and crash reports, authentication details, quality and performance metrics, and other technical details necessary for us to operate and maintain Cloud Services and related software. This information includes device identifiers, identifiers from cookies or tokens, and IP addresses.
· Your direct communications. We keep records of your communications and interactions with us and our partners (for example, when you provide feedback, ask questions or seek technical support).
Í persónuverndarstefnu fyrir Google-nemendakerfið er tekið fram að þjónustugögn séu fyrst og fremst notuð til þess að veita þjónustuna en einnig í þeim tilgangi sem nánar er lýst í persónuverndarstefnu Google fyrir skýjaþjónustu. Í síðarnefndu stefnunni segir að þjónustugögn séu jafnframt notuð til þess að veita tæknilega aðstoð, betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota, kynna viðskiptavini fyrir nýrri virkni eða skyldri þjónustu, koma í veg fyrir misnotkun á þjónustunni og gera þjónustuna öruggari. Hvað vinnsluheimild varðar er vísað til þess að vinnslan sé ýmist nauðsynleg til að efna samninga við ábyrgðaraðila, vegna lagaskyldu sem hvíli á Google eða í þágu lögmætra hagsmuna fyrirtækisins.
3.2.3 Viðbótarþjónustur: Persónuverndarstefna fyrir Google-nemendakerfið og almenna persónuverndarstefna Google
Í persónuverndarstefnu fyrir Google-nemendakerfið segir að Google safni tvenns konar upplýsingum þegar viðbótarþjónustur eru notaðar samhliða nemendakerfinu, annars vegar persónuupplýsingum sem notendur skrá eða búa til með viðbótarþjónustum og hins vegar upplýsingum sem Google safnar við notkun þjónustunnar. Í lýsingu á þeim upplýsingum sem er safnað þegar viðbótarþjónustur eru notaðar segir nánar tiltekið á ensku:
Google’s Privacy Policy also describes the information we collect as you use our additional services, which includes:
· Your activity while using additional services, which includes things like terms you search for, videos you watch, content and ads you view and interact with, voice and audio information when you use audio features, purchase activity, and activity on third-party sites and apps that use our services.
· Your apps, browsers and devices. We collect the info about your apps, browser, and devices described above in the core services section.
· Your location information. We collect info about your location as determined by various technologies including: GPS, IP address, sensor data from your device, and information about things near your device, such as Wi-Fi access points, cell towers, and Bluetooth-enabled devices. The types of location data we collect depend in part on your device and account settings.
Í persónuverndarstefnu fyrir Google-nemendakerfið segir að markmið framangreindrar vinnslu persónuupplýsinga sé að veita viðbótarþjónustu, bæta þjónustuna, þróa nýja þjónustu, veita persónusniðna þjónustu, greina hvernig þjónusta er notuð og skilvirkni hennar (e. measure performance ), eiga samskipti við notendur og vernda Google og notendur þess. Þá er jafnframt greint frá því að sum viðbótarþjónusta kunni að birta auglýsingar en ef notandi er að nota Google Workspace for Education reikning fyrir grunnskólastig (K-12) séu ekki notaðar upplýsingar af aðgangi viðkomandi til að beina að honum persónusniðnum auglýsingum. Aftur á móti kunni Google að beina auglýsingum að notanda, sem byggjast á almennum þáttum eins og leitarfyrirspurnum notandans, tíma dags eða efni þeirra vefsíðu sem hann skoðar. Vísað er til almennu persónuverndarstefnu Google hvað nánari upplýsingar varðar. Í almennu persónuverndarstefnunni er meðal annars að finna umfjöllum um vinnsluheimild. Greint er frá því að vinnslan byggi í einhverjum tilvikum á samþykki hinna skráðu. Að auki kunni vinnsluaðgerðir að vera nauðsynlegar til að efna samninga við ábyrgðaraðila, vegna lagaskyldu sem hvíli á Google eða í þágu lögmætra hagsmuna fyrirtækisins.
III.
Skýringar og sjónarmið Reykjanesbæjar
Samkvæmt svörum Reykjanesbæjar nota tveir grunnskólar sveitarfélagsins Google-nemendakerfið. Annar skólinn tók nemendakerfið í notkun í október 2020 og hinn árið 2010. Grunnskólarnir hafi notað Fundamentals-þjónustuleið kerfisins fram til 18. ágúst 2022 en þá hafi Plus-þjónustuleið verið tekin í notkun. Áætlað er að 573 grunnskólanemendur hafi notað nemendakerfið skólaárið 2021-2022.
Reykjanesbær andmælir öllu því sem fram kemur í úttektarskýrslu Persónuverndar er varðar möguleg brot á persónuverndarlöggjöfinni og heldur því fram að sveitarfélagið hafi gert allt, sem ætlast megi til, til að tryggja að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, sem sveitarfélagið er ábyrgðaraðili að, uppfylli í hvívetna ákvæði persónuverndarlaga nr. 90/2018 og persónuverndarreglugerðar (ESB) 2016/679. Í þessum kafla verður gerð grein fyrir helstu skýringum og sjónarmiðum Reykjanesbæjar, sem ákvörðun í málinu byggist á.
1.
Ábyrgð á vinnslu
Í svörum Reykjanesbæjar er tekið fram að sveitarfélaginu séu falin margs konar verkefni á sviði kennslu grunnskólanemenda. Þessi verkefni felist að miklu leyti í vinnslu persónuupplýsinga, m.a. upplýsinga nemendanna sjálfra, og sveitarfélagið sé ábyrgðaraðili þeirrar vinnslu. Í nútímaþjóðfélagi þurfi að nýta upplýsingakerfi til þess að vinna flest þessara verkefna og því kunni að vera nauðsynlegt að leita eftir upplýsingatækniþjónustu, þ. á m. skýjaþjónustu, frá utanaðkomandi þjónustuaðila. Í þeim tilvikum feli sveitarfélagið skýjaþjónustuveitandanum að annast tiltekinn þátt í vinnslunni sem vinnsluaðila.
Greint er frá því að Reykjanesbær hafi tekið ákvörðun um að nota Google-nemendakerfið að lokinni ítarlegri skoðun á mögulegum skýjaþjónustum. Sveitarfélagið hafi, með vinnslusamningi, falið Google afmarkaðan hluta af vinnslu persónuupplýsinga sem sveitarfélagið er ábyrgðaraðili fyrir. Vinnslusamningurinn afmarki þá vinnslu sem Google sé falið að stunda, þ. á m. tilgang vinnslunnar og þær aðferðir sem skuli beita. Samkvæmt samningnum sé Google falið að vinna með þær persónuupplýsingar í nemendakerfinu sem eru skilgreindar í vinnslusamningnum sem persónuupplýsingar viðskiptavinar (e. Customer Personal Data). Í mati Reykjanesbæjar á áhrifum á persónuvernd, sem var sent Persónuvernd 15. september 2023, segir að þótt grunnstillingum kerfisins sé stjórnað miðlægt frá kerfisþjónustu sveitarfélagsins, komi hver grunnskóli fram sem sjálfstæður ábyrgðaraðili þeirrar vinnslu sem fer fram innan skólans.
Þá segir að til þess að skýjaþjónustuveitandinn geti boðið upp á og viðhaldið skýjaþjónustunni sé honum nauðsynlegt að stunda einnig ýmiss konar vinnslu með þær persónuupplýsingar, sem honum er falið sem vinnsluaðila að vinna, í öðrum tilgangi, t.a.m. í þeim tilgangi að auka áreiðanleika eða hraða þjónustunnar, breyta högun eða virkni hennar og þróa endurbættar útgáfur af henni. Skýjaþjónustuveitandinn taki í þeim tilvikum sjálfur, án samráðs við viðskiptavini sína, ákvörðun um tilgang og aðferðir við vinnsluna og sé því sjálfstæður ábyrgðaraðili þeirrar vinnslu. Að mati Reykjanesbæjar er Google því sjálfstæður ábyrgðaraðili vinnslu svonefndra þjónustugagna (e. Service Data) í Google-nemendakerfinu. Reykjanesbær hafi enga aðkomu að vinnslu þjónustugagna og því sé andmælt að sveitarfélagið og Google kunni að vera sameiginlegir ábyrgðaraðilar vinnslunnar líkt og koma hafi þótt til skoðunar samkvæmt úttektarskýrslu Persónuverndar.
Reykjanesbæjar andmælir því að úttektin taki til viðbótarþjónustu Google. Grunnskólarnir séu ábyrgðaraðilar þeirra viðbótarþjónustu sem þeir ákveði að nota og sveitarfélagið hafi enga aðkomu að samningum grunnskólanna um slíka þjónustu. Er í því sambandi vísað til bréfs Persónuverndar til Akureyrarbæjar, dags. 4. ágúst 2022, þar sem stofnunin ákvað að loka úttekt gagnvart Akureyrarbæ enda hefði sveitarfélagið ekki talist ábyrgðaraðili þeirrar vinnslu sem um ræddi.
2.
Vinnslusamningur
Í svörum Reykjanesbæjar er því andmælt að vinnslusamningur sveitarfélagsins við Google standist ekki ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Reykjanesbær andmælir því að vinnslusamningurinn útiloki ekki að Google geti unnið persónuupplýsingar umfram fyrirmæli sveitarfélagsins, líkt og vikið var að í úttektarskýrslu Persónuverndar. Samkvæmt grein 5.2 (áður 5.2.1) í vinnslusamningnum gefi Reykjanesbær Google fyrirmæli um vinnslu upplýsinga viðskiptavinarins, þ. á m. um að vinna einungis með persónuupplýsingar í samræmi við samning aðila og gildandi lög (e. Customer instructs Google to process Customer Data in accordance with the applicable Agreement (including this Addendum) and applicable law only [...]).
Reykjanesbær heldur því einnig fram að hinir rúmu tímafrestir sem mælt er fyrir um í grein 11.4 í vinnslusamningnum, til að andmæla nýjum undirvinnsluaðila, gefi sveitarfélaginu nægan tíma til að koma á framfæri beint við vinnsluaðila andmælum sínum við fyrirhugaðar breytingar á skipan undirvinnsluaðila, áður en til þess kæmi að segja þyrfti upp vinnslusamningnum í mótmælaskyni.
Þá telur Reykjanesbær vandséð hvernig sveitarfélaginu eigi að vera kleift að telja upp í vinnslusamningi, með tæmandi hætti, allar hugsanlegar tegundir persónuauðkenna og annarra persónuupplýsinga sem sveitarfélagið og notendur þess kunni að vinna í Google-nemendakerfinu, með hliðsjón af eðli skýjaþjónustunnar. Að mati sveitarfélagsins sé skilvirkara og skýrara að stýra því í verklagsreglum og með eftirliti hvaða persónuupplýsingar sé heimilt að vinna. Allt að einu sé það afstaða sveitarfélagsins að vinnslusamningur aðila tilgreini öll þau atriði sem áskilið er í 3. mgr. 28. gr. reglugerðar (ESB) 2016/679.
3.
Aðrir skilmálar Google
Í svörum Reykjanesbæjar er tekið fram að yfirlýsingar sem eru samdar einhliða af Google, án nokkurrar aðkomu sveitarfélagsins, séu ekki hluti af vinnslusamningi aðila, breyti honum ekki, gangi honum ekki framar og dragi því í engu úr þeim skyldum sem lagðar séu á Google sem vinnsluaðila. Vísað er til þess að sveitarfélagið hafi ekki lagt fram þær yfirlýsingar sem Persónuvernd byggir á í úttektarskýrslu sinni, þ. á m. samþykki skóla fyrir notkun nemenda á Google-nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) og persónuverndarstefnu fyrir skýjaþjónustu Google (e. Google Cloud Privacy Notice). Af hálfu sveitarfélagsins er því andmælt að þessar yfirlýsingar verði lagðar til grundvallar í úttektinni. Á hinn bóginn er því ekki andmælt, af hálfu Reykjanesbæjar, að Google vinni persónuupplýsingar í samræmi við nefnda skilmála.
4.
Vinnsla þjónustugagna
Í svörum Reykjanesbæjar segir að sveitarfélagið eigi enga aðkomu að því að semja yfirlýsingar Google um vinnslu þjónustugagna og þær lýsi ekki skyldum sem séu lagðar á sveitarfélagið. Í skilmálunum komi fram að Google vinni þjónustugögn fyrst og fremst til að veita þjónustuna en einnig til að veita tæknilega aðstoð, betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota, kynna nýja virkni fyrir viðskiptavinum eða skylda þjónustu, koma í veg fyrir misnotkun á þjónustunni og gera þjónustuna öruggari. Á hinn bóginn sé það ekki rétt, sem segir í úttektarskýrslu Persónuverndar, að Google vinni þjónustugögn í eigin þágu heldur fari vinnslan fram í þágu viðskiptavinarins og þeirrar þjónustu sem er verið að veita honum.
Líkt og greinir í kafla III. 1. telur Reykjanesbær að Google sé sjálfstæður ábyrgðaraðili vinnslu þjónustugagna. Vísað er til þess að allar ákvarðanir sem lúta að vinnslu þjónustugagna séu teknar eingöngu af Google, án nokkurrar þátttöku sveitarfélagsins. Þjónustugögn séu sérstaklega skilgreind í yfirlýsingum Google sem önnur gögn en þau sem teljast vera upplýsingar viðskiptavinarins (e. Customer Data) og falla þar með utan gildissviðs vinnslusamnings aðilanna, sbr. 1. gr. hans. Sveitarfélagið hafi eðli máls samkvæmt afar takmarkaðar upplýsingar um þær vinnslur sem heyra undir ábyrgð Google.
Í úttektarskýrslu Persónuverndar er fundið að því að vinnsluskrá Reykjanesbæjar tilgreini ekki söfnun persónuupplýsinga nemenda í þjónustugögnum. Í andmælum Reykjanesbæjar vegna skýrslunnar segir að sveitarfélagið sé ekki eigandi umrædds upplýsingakerfis eða ábyrgðaraðili allrar þeirrar vinnslu sem fari fram í kerfinu. Af svörum Reykjanesbæjar má ráða að sveitarfélagið telji ekki ljóst á hvaða grundvelli það geti krafist upplýsinga frá Google til að öðlast yfirsýn yfir alla þá vinnslu sem fer fram í nemendakerfinu.
5.
Vinnsla persónuupplýsinga í þágu viðbótarþjónustu
Í svörum Reykjanesbæjar segir að grunnskólar sveitarfélagsins noti viðbótarþjónusturnar Google Arts and Culture, Google Bookmarks, Google Earth, Google Groups, Google Maps, Google News, Google Play, Google Search Console, Google Translate, Managed Google Play, Third-Party App Backups og YouTube.
Sem fyrr segir telur Reykjanesbær grunnskóla sveitarfélagsins vera ábyrgðaraðila vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google. Ekki sé kveðið á um vinnslu persónuupplýsinga í þágu viðbótarþjónustu í vinnslusamningi Reykjanesbæjar og Google, sbr. grein 5.3 samningsins. Sveitarfélagið hafi ekki tekið ákvörðun um tilgang og aðferðir við vinnsluna og sé því ekki ábyrgðaraðili hennar. Þá gildi sjálfstæðir skilmálar um viðbótarþjónusturnar (e. Additional Product Terms), en þeir séu ekki hluti af fyrirliggjandi úttekt.
Við meðferð málsins greindi Reykjanesbær frá því að Plus-þjónustuleið nemendakerfisins hefði verið tekin í notkun 20. september 2022. Sú þjónustuleið bjóði upp á frekari stillingar hvað viðbótarþjónustu varðar. Allar viðbótarþjónustur sem eru í boði fyrir nemendur séu nú stilltar þannig að þær safni ekki sögu með notkun svokallaðrar Incognito virkni.
6.
Lögmæti vinnslu
6.1 Vinnsluheimild og tilgangur
Í fyrirliggjandi vinnsluskrám og mati á áhrifum á persónuvernd má finna upplýsingar um tilgang og heimild til vinnslu persónuupplýsinga í Google-nemendakerfinu, sbr. það sem áður er rakið. Í vinnsluskránum kemur að auki fram að vinnsla persónuupplýsinga byggi á 3. og 5. tölul. 9. gr. laga nr. 90/2018, sbr. lög nr. 91/2008 um grunnskóla.
Í skýringum Reykjanesbæjar segir að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu sé nauðsynleg til að uppfylla lagaskyldu sem hvíli á sveitarfélaginu samkvæmt lögum nr. 91/2008 um grunnskóla. Að auki séu vinnsluaðgerðirnar nauðsynlegar vegna verka sem unnin eru í þágu almannahagsmuna, þ.e. að veita nemendum kennslu í samræmi við þær væntingar og kröfur sem gerðar eru til slíkrar starfsemi. Í því sambandi er vísað til kafla 26.1 í aðalnámskrá grunnskólanna, sem kveður á um að kenna skuli upplýsinga- og tæknimennt, sem felur í sér miðlamennt, upplýsinga- og samskiptatækni og tölvunotkun. Með upplýsinga- og miðlalæsi sé átt við að nemendur öðlist hæfni í að greina hvaða upplýsinga er þörf, leita að þeim og leggja á gagnrýnið mat, auka þannig þekkingu sína og nýta með ýmsum miðlum til að ná tilteknu markmiði. Reykjanesbær tekur fram að í framangreindu felist einnig geta til að nálgast og nota upplýsingar. Lögð sé áhersla á að nemendur fái markvissa þjálfun, þekki helstu reglur um örugg samskipti á stafrænum miðlum og læri að virða siðferði í meðferð upplýsinga og heimilda. Þá segir að Google-nemendakerfið sé beinlínis sniðið að þessum verkum og því telji Reykjanesbær að notkun þess samrýmist þeim lögmætisgrundvelli sem einkum er byggt á.
6.2 Meðalhóf og lágmörkun gagna
Reykjanesbær andmælir því að það sé hlutverk sveitarfélagsins að sýna fram á að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu takmarkist við það sem er nauðsynlegt miðað við tilgang vinnslunnar, í ljósi þess að sveitarfélagið er hvorki eigandi né rekstraraðili nemendakerfisins. Sveitarfélagið hafi því ekki völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í kerfinu. Telur sveitarfélagið að sér verði einungis gert að standa skil á upplýsingum um þær vinnslur sem það er ábyrgðaraðili fyrir.
Í skýringum Reykjanesbæjar er vísað til þess að allar stillingar í Google-nemendakerfinu hafi verið yfirfarnar. Kerfið sé nú stillt á þann veg að vinnsla persónuupplýsinga sé eins takmörkuð og unnt er. Meðal annars hafi verið lokað fyrir viðbætur Google Ads, Google AdSense, Google Ad Manager, Google Analytics og vefkökur frá viðbótarþjónustu. Þá segir að öllum gögnum nemenda hafi verið eytt úr Google-nemendakerfinu 18. ágúst 2022 og í kjölfarið hafi Plus-þjónustuleið nemendakerfisins verið tekin í notkun. Aðgangur nemenda að kerfinu hafi nú verið settur upp undir sýndarheitum í stað nafna nemenda. Engin persónuauðkenni séu notuð við úthlutunina. Að auki hafi sveitarfélagið sett verklagsreglur sem leggi bann við notkun persónugreinanlegra upplýsinga í Google-nemendakerfinu og viðhefur eftirlit með að þeim reglum sé fylgt í hvívetna. Með þessu hafi sveitarfélagið komið í veg fyrir að unnið sé með persónuupplýsingar nemenda í kerfinu. Vísað til þess að innbyggð og sjálfgefin vernd persónuupplýsinga sé viðhöfð í starfsemi sveitarfélagsins en þar sem sveitarfélagið hafi ekki komið að hönnun Google-nemendakerfisins verði ekki séð hvernig það getur verið ábyrgt fyrir öllum þáttum í uppbyggingu þess.
6.3 Varðveislutími persónuupplýsinga
Samkvæmt vinnsluskrá Reykjanesbæjar eru upplýsingar grunnskólanemenda almennt geymdar í Google-nemendakerfinu á meðan nemandi er við nám í grunnskólum sveitarfélagsins. Upplýsingum nemenda er eytt úr kerfinu þegar skólagöngu lýkur. Námsgögn sem ber að varðveita samkvæmt lögum nr. 77/2014 um opinber skjalasöfn eru varðveitt í samræmi við reglur sem þar eiga við. Í úttektarskýrslu Persónuverndar er vikið að því að Reykjanesbær hafi ekki sýnt fram á nauðsyn þess að varðveita upplýsingar nemenda í Google-nemendakerfinu út skólagöngu þeirra. Þessari afstöðu stofnunarinnar er andmælt af hálfu sveitarfélagsins. Vísað er til þess að í úttektinni hafi ekki verið óskað eftir því að sveitarfélagið sýndi fram á slíka nauðsyn en að sveitarfélagið telji tilefni til að endurskoða fyrri framkvæmd með hliðsjón af afstöðu Persónuverndar. Sveitarfélagið hafi ákveðið að skilgreina geymslutíma eins takmarkað og mögulegt er þannig að hægt sé að veita kennslu út skólaárið. Í lok hvers skólaárs fái nemendur tækifæri til að taka til sín gögn áður en þeim verði eytt út nemendakerfinu.
7.
Mat á áhrifum á persónuvernd
Í svörum Reykjanesbæjar frá 16. júní 2022 var greint frá því að sveitarfélagið hefði ekki gert mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í Google-nemendakerfinu. Google-nemendakerfið hefði verið tekið í notkun í tíð eldri laga um persónuvernd og meðferð persónuupplýsinga en þágildandi lög hafi ekki gert kröfu um slíkt mat.
Í úttektarskýrslu Persónuverndar er vikið að skyldunni til að framkvæma mat á áhrifum á persónuvernd. Í andmælum Reykjanesbæjar við úttektarskýrsluna er því andmælt að sveitarfélagið hafi ekki uppfyllt skyldur sínar samkvæmt 1. mgr. 29. gr. laga nr. 90/2018, sbr. 1. og 11. mgr. 35. gr. reglugerðar (ESB) 2016/679. Vísað er til leiðbeininga Persónuverndar um mat á áhrifum á persónuvernd, frá október 2018, en þar komi meðal annars fram að gera skuli slíkt mat ef stórfelldar breytingar séu gerðar á langtímavinnslu. Hvað Google-nemendakerfið varðar hafi verið gerðar nokkrar breytingar á þeim skilmálum sem gilda og vinnslusamningi aðila. Að mati sveitarfélagsins hafi hins vegar engar stórfelldar breytingar orðið á þeirri vinnslu sem um ræðir. Þá er vísað til þess að Reykjanesbær hafi nú framkvæmt mat á áhrifum á persónuvernd vegna vinnslunnar og fylgdi það mat með svörum sveitarfélagsins 15. september 2023. Er þess óskað að Persónuvernd taki tillit til matsins við meðferð málsins.
8.
Miðlun persónuupplýsinga til Bandaríkjanna
Í svörum Reykjanesbæjar segir að gögnum sé miðlað til þriðja lands þegar notast er við Fundamentals-þjónustuleið Google-nemendakerfisins. Sveitarfélagið hafi nú tekið upp Plus-þjónustuleið kerfisins, sem takmarki miðlun til þriðja lands ef tilteknum stillingum er breytt á þá vegu.
Þá er vísað til þess að vinnslusamningur sveitarfélagsins við Google tiltaki að heimilt sé að vinna með upplýsingar viðskiptavinar í hverju því ríki sem Google eða undirvinnsluaðilar þess hafi staðfestu, að uppfylltum þeim kvöðum sem fram komi í öðrum ákvæðum 10. gr. og frekari kvöðum í þjónustuskilmálum. Öll miðlun upplýsinga til óöruggra þriðju ríkja sé byggð á uppfærðum stöðluðum samningsskilmálum Evrópusambandsins og varin af tæknilegum, lagalegum og skipulagslegum öryggisráðstöfunum. Google hafi sett fram lýsingar á viðbótarverndarráðstöfunum sem gripið hafi verið til í tengslum við mögulega miðlun persónuupplýsinga til þriðju landa (e. Safeguards for international data transfers with Google Cloud). Verður hér vikið að þeim tæknilegu ráðstöfunum sem þar er lýst.
Í tilvísuðum lýsingum kemur fram að Google skrái aðgang og aðgerðir starfsmanna sinna innan umhverfisins. Einnig kemur fram að gögn séu dulkóðuð í flutningi sem og í hvíld. Notast sé við FIPS 104-2-dulkóðun í flutningi og svonefnt „Application Layer Transport Security“ (ALTS) og „Transport Layer Security“ (TLS). Dulkóðun gagna í hvíld styðjist við „Advanced Encryption Standard“. Dulkóðunarlykillinn sé a.m.k. 128 bita fyrir gögn sem séu varðveitt í Google-nemendakerfinu. Lykillinn sé enn fremur dulkóðaður með öðrum 128 bita lykli sem sé varðveittur af „Google key management service“ (KMS). Google bjóði jafnframt upp á aukastýringar, t.a.m. hafi viðskiptavinir kost á að dulrita eigin gögn og stjórna varðveislu dulkóðunarlykilsins fyrir tilteknar þjónustur.
Í skýringum Reykjanesbæjar segir að Bandaríkin séu nú aðili að sérstöku samkomulagi um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna. Í samkomulaginu felist að Bandaríkin tryggi persónuupplýsingum, sem fluttar eru frá Evrópu til bandarískra fyrirtækja á grundvelli þess, viðunandi vernd í skilningi persónuverndarreglugerðarinnar, sbr. jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023. Þetta eigi við um fyrirtæki sem gangast með formlegum hætti undir skyldur samkvæmt samkomulaginu og sé Google þar á meðal.
9.
Andmæli vegna mögulegrar álagningar sektar
Með úttektarskýrslu Persónuverndar var Reykjanesbæ veittur andmælaréttur vegna mögulegra fyrirmæla og beitingar stjórnvaldssektar. Í skýrslunni er það rakið að fyrirliggjandi gögn hafi þótt benda til þess að sveitarfélagið hefði brotið gegn ákvæðum 5., 6., 25., 26., 28., 30., 35., 44. og 46. gr. reglugerðar (ESB) 2016/679 en brot gegn þeim ákvæðum geta varðað sektum samkvæmt 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 4. og 5. mgr. 83. gr. reglugerðarinnar. Í úttektarskýrslunni eru einnig rakin þau atriði sem Persónuvernd taldi geta leitt til þess að sekt yrði lögð á og haft áhrif á fjárhæð sektar, samkvæmt 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar.
Reykjanesbær vísar til þess að sveitarfélagið hafi sýnt mikinn samstarfsvilja gagnvart Persónuvernd og svarað öllum erindum stofnunarinnar við meðferð málsins með skýrum og greinargóðum hætti. Einnig telji sveitarfélagið ekki tilefni til að álykta á þann veg að það hafi brotið gegn ákvæðum persónuverndarlöggjafarinnar. Að auki sé rétt að hafa í huga að Persónuvernd hafi hingað til ekki beitt vægari úrræðum í málinu. Enn fremur beri að hafa hliðsjón af meðferð sambærilegra mála á hinum Norðurlöndunum, t.d. í Danmörku, þar sem samband þarlendra sveitarfélaga hafi haft rúman tíma til að koma á framfæri við persónuverndaryfirvöld tillögum af hálfu sveitarfélaga um endurbætur.
-
Hvað varðar einstök atriði sem eru nefnd í úttektarskýrslu Persónuverndar er í fyrsta lagi að nefna að umrædd vinnsla lýtur að persónuupplýsingum barna, sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni, og teljast brot á vinnslu þeirra því alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í skýrslunni er einnig vísað til þess að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda þyki líkur standa til þess að viðkvæmar persónuupplýsingar eða upplýsingar viðkvæms eðlis séu skráðar í kerfið. Í andmælum Reykjanesbæjar er tekið fram að sveitarfélagið leggi bann við vinnslu viðkvæmra persónuupplýsinga í Google-nemendakerfinu og hafi eftirlit með því að banninu sé framfylgt. Að auki bendir sveitarfélagið á að ósannað sé að viðkvæmar persónuupplýsingar hafi verið skráðar í nemendakerfið og ekkert hafi komið fram um ætlun til að skrá slíkar upplýsingar.
Í öðru lagi er á því byggt í úttektarskýrslu Persónuverndar að vinnsluheimild sé ekki fyrir hendi hvað varðar söfnun persónuupplýsinga í þágu viðbótarþjónustu Google og þjónustugagna í öðrum og ósamrýmanlegum tilgangi en þeim sem tilgreindur hefur verið fyrir vinnslu persónuupplýsinga í nemendakerfinu af hálfu Reykjanesbæjar. Vinnsla umræddra persónuupplýsinga þyki enn fremur ekki samrýmast meginreglum um gagnsæi, meðalhóf og lágmörkun gagna og þyki brotin að þessu leyti alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar. Í andmælum Reykjanesbæjar segir að sveitarfélagið verði ekki gert ábyrgt fyrir málefnalegri vinnslu sem fer fram af hálfu annars sjálfstæðs ábyrgðaraðila. Að auki er því andmælt að Persónuvernd sé heimilt að færa sama meinta brotið, þ.e. vinnslu Google sem fellur ekki undir vinnslusamning aðila, undir langan lista af meintum brotum. Slíkt samræmist ekki 2. mgr. 47. gr. laga nr. 90/2018.
Í þriðja lagi er á því byggt í úttektarskýrslu Persónuverndar að brot Reykjanesbæjar þyki umfangsmikil, enda hafi tveir grunnskólar sveitarfélagsins notað Google-nemendakerfið. Í andmælum Reykjanesbæjar er bent á að ekki komi fram á hverju mat Persónuverndar sé byggt, hver séu viðmið eða aðferðarfræði. Sveitarfélagið andmæli því umræddri staðhæfingu þegar af þeirri ástæðu að hún sé órökstudd og því sé ekki fært að bregðast við eða koma að andmælum.
Í fjórða lagi er því andmælt sem fram kemur í úttektarskýrslu Persónuverndar að áhætta fylgi því að persónuupplýsingar séu fluttar til Bandaríkjanna og unnar þar án þess að gripið hafi verið til viðeigandi verndarráðstafna og að brotið teljist alvarlegt af þeim sökum, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laganna og a- og d- lið 2. mgr. 83. gr. reglugerðarinnar. Reykjanesbær telji alls óútskýrt af hálfu Persónuverndar hvers vegna þetta meinta brot teljist alvarlegt af þeim sökum einum, óháð því hvers eðlis það er. Fyrir liggi ítarleg lýsing á þeim viðbótarverndarráðstöfunum sem hafi verið viðhafðar við vinnsluna fram að því að svonefndur friðhelgisrammi (e. Privacy Framework) hafi tekið gildi.
Í fimmta lagi er í úttektarskýrslu Persónuverndar byggt á því að brot Reykjanesbæjar hafi verið framin af stórfelldu gáleysi, sbr. 2. tölul. 1. mgr. 47. gr. laganna og b-lið 2. mgr. 83. reglugerðarinnar. Er vísað til þess að stofnunin hafi birt leiðbeiningar 7. janúar 2022, í kjölfar ákvörðunar í máli nr. 2021040879, um innleiðingu upplýsingatæknikerfa þar sem unnið er með persónuupplýsingar barna en að ekki verði séð að Reykjanesbær hafi haft hliðsjón af þeim hvað varðar vinnslu persónuupplýsinga í Google-nemendakerfinu. Af hálfu Reykjanesbæjar er þessari afstöðu eindregið andmælt. Tekið er fram að hlíting við umræddar leiðbeiningar hafi ekki verið hluti af fyrirliggjandi úttekt. Við innleiðingu Google-nemendakerfisins hafi ekki verið fyrir að fara öðrum leiðbeiningum en almennum leiðbeiningum um skýjalausnir sem gefnar hafi verið út af fjármála- og efnahagsráðuneytinu í samvinnu við Persónuvernd í árslok 2016. Eftir að nemendakerfið hafi verið tekið í notkun hafi verið lögð áhersla á að hafa hliðsjón af viðeigandi leiðbeiningum, ákvörðunum og lýsingu á góðum starfsháttum.
Loks er þeirri sektarfjárhæð, sem er tilgreind í úttektarskýrslunni, mótmælt sem óhóflega hárri, einkum með hliðsjón af ákvörðunum Persónuverndar í máli nr. 2022020414 varðandi notkun Kópavogsbæjar á Seesaw-nemendakerfinu og í máli nr. 2020010355 varðandi InfoMentor ehf.
IV.
Niðurstaða
1.
Afmörkun máls
Ákvörðun þessi lýtur að vinnslu persónuupplýsinga grunnskólanemenda Reykjanesbæjar í Google-nemendakerfinu, sbr. skilgreiningar 2. og 4. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 1. og 2. tölul. 4. gr. reglugerðar (ESB) 2016/679, í samræmi við gildissvið laganna og reglugerðarinnar, sbr. 1. mgr. 4. gr. laganna.
Nemendakerfið er „SaaS“-skýjalausn (e. Software as a Service), þ.e. lausn sem veitir notendum möguleikann á að nota tiltekinn hugbúnað eftir þörfum. Sveitarfélagið hefur áætlað að 573 nemendur hafi notað kerfið skólaárið 2021-2022.
Af gögnum málsins má ráða að í grunnþjónustu nemendakerfisins eru unnar annars vegar persónuupplýsingar viðskiptavinarins (e. Customer Personal Data), sem vinnslusamningur aðila tekur til, og hins vegar persónuupplýsingar í þjónustugögnum (e. Service Data), sem fjallað er um í skilmálum Google, t.d. í skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice) og persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice).
Persónuupplýsingar viðskiptavinarins eru, samkvæmt skilgreiningu vinnslusamnings, þær persónuupplýsingar sem Reykjanesbær eða notendur Google-nemendakerfisins miðla til Google með nemendakerfinu. Í vinnsluskrá Reykjanesbæjar eru tilgreindar þær persónuupplýsingar sem skráðar eru í kerfið. Samkvæmt vinnsluskránni fer úrlausn verkefna fram í kerfinu, námsmat og nemendur og kennarar geta haft samskipti í gegnum samskiptasvæði og tölvupóstkerfi.
Samkvæmt persónuverndarstefnu Google fyrir skýjaþjónustu eru þjónustugögn persónuupplýsingar sem Google safnar eða sem verða til við skýjaþjónustu fyrirtækisins. Nánar tiltekið er um að ræða notendaupplýsingar (e. Account information), t.d. notendanöfn og nöfn, upplýsingar um stillingar á þjónustunni (e. Cloud settings and configurations), tæknilegar upplýsingar og greiningargögn (e. Technical and operational details of your usage of Cloud Services), t.d. auðkenni tækis, auðkenni frá vafrakökum og IP-tölur, og bein samskipti notenda við Google, t.d. í tengslum við tæknilega aðstoð (e. Your direct communications).
Samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu safnar Google enn fremur upplýsingum, m.a. um þau tæki sem kerfið er notað í, hvernig kerfið er notað, staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, tungumálastillingar og aðrar stillingar. Eru þessar upplýsingar nýttar til að veita grunnþjónustu í kerfinu.
Samkvæmt svörum Reykjanesbæjar notuðu grunnskólar sveitarfélagsins viðbótarþjónusturnar Google Arts and Culture, Google Bookmarks, Google Earth, Google Groups, Google Maps, Google News, Google Play, Google Search Console, Google Translate, Managed Google Play, Third-Party App Backups og YouTube, samhliða notkun Google-nemendakerfisins, fram til 20. september 2022, þegar Plus-þjónustuleið kerfisins var tekin í notkun með fyrrgreindri Incognito-virkni.
Samkvæmt persónuverndarstefnu fyrir Google-nemendakerfið safnar Google persónuupplýsingum sem notendur skrá eða búa til þegar viðbótarþjónustur Google eru notaðar og upplýsingum um notkun þeirrar þjónustu, m.a. leitarfyrirspurnir notandans, myndbönd sem horft er á eða annað efni sem notandinn skoðar (e. Your activity while using additional services), upplýsingum um smáforrit, vafra og tæki (e. Your apps, browsers and devices) og staðsetningarupplýsingum (e. Your location information). Í stefnunni segir að tegundir þeirra staðsetningarupplýsinga sem er safnað fari að hluta til eftir stillingum notenda og því í hvers konar tæki nemendakerfið er notað.
Með hliðsjón af skilgreiningu persónuverndarlöggjafarinnar á persónuupplýsingum, sbr. 2. tölul. 3. gr. laga nr. 90/2018 og 1. tölul. 4. gr. reglugerðar (ESB) 2016/679, telur Persónuvernd að verkefni og önnur gögn sem nemendur skrá í Google-nemendakerfið teljist ávallt til persónuupplýsinga þeirra ef unnt er að tengja þau við tiltekinn nemanda, þó að það sé e.t.v. ekki á allra færi. Með sömu röksemdum teljast upplýsingar sem fela í sér endurgjöf kennara við verkefni nemenda einnig vera persónuupplýsingar nemendanna ef unnt er að tengja þær við tiltekinn nemanda. Það sama á við um þjónustugögn og önnur gögn sem eru unnin í Google-nemendakerfinu, t.d. notendaupplýsingar, tæknilegar upplýsingar, greiningarupplýsingar og staðsetningarupplýsingar, sem unnt er að tengja við tiltekna nemendur.
Persónuvernd vekur athygli á því að í samræmi við fyrrgreinda skilgreiningu á persónuupplýsingum teljast persónuupplýsingar sem hafa verið færðar undir svokölluð gerviauðkenni (e. pseudonymisation), sem þó kann að vera hægt að rekja til einstaklings með notkun viðbótarupplýsinga, upplýsingar um persónugreinanlegan einstakling. Það athugast jafnframt að úttekt þessi var boðuð 25. febrúar 2022 og tekur mið af því hvernig vinnslu persónuupplýsinga var háttað af hálfu Reykjanesbæjar á þeim tíma. Þær ráðstafanir sem Reykjanesbær hefur innleitt eftir að úttektin hófst hafa á hinn bóginn þýðingu við ákvörðun um mögulega sekt og möguleg fyrirmæli til sveitarfélagsins á grundvelli laga nr. 90/2018.
2.
Almennt um vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum
Persónuvernd hefur áður fjallað um þau sjónarmið sem leggja verður til grundvallar við skýringu laga nr. 90/2018 og reglugerðar (ESB) 2016/679 þegar persónuupplýsingar barna eru unnar í upplýsingatæknikerfum í grunnskólastarfi. Vísast í þessu sambandi til umfjöllunar í kafla II. 2. í ákvörðun stofnunarinnar í máli nr. 2021040879. Í niðurlagi kaflans segir meðal annars:
[Þ]rátt fyrir að upplýsingatæknikerfi geti nýst kennurum, foreldrum og skólabörnum í skólastarfi og notkun þeirra verið þáttur í og aðstoðað við menntun barnanna þá fylgi[r] notkun þeirra áhætta fyrir grundvallarréttindi barnanna. Með hliðsjón af ungum aldri og þroska barnanna, þeirri stöðu sem þau eru í gagnvart skólunum, magni þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, viðkvæmu eðli upplýsinganna sem kunna að vera skráðar, áhrifum upplýsingasöfnunarinnar á sjálfsmynd barnanna og aðgangi aðila á einkamarkaði að þessum upplýsingum, verður að fylgja ákvæðum persónuverndarlöggjafarinnar til hins ýtrasta þegar stafrænar lausnir eru innleiddar í skólastarf. Á það við um öll ákvæði persónuverndarlöggjafarinnar en sérstaklega skal nefnt hversu áríðandi það er að meginregla um meðalhóf og lágmörkun gagna sé virt. Persónuupplýsingar skólabarna sem safnað er í hvers konar upplýsingatæknikerfi skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar. Til þess að þessi meginregla sé virt í raun skal tilgangur með vinnslu persónuupplýsinganna vera skilgreindur þröngt og afmarkandi. Að öðrum kosti er ekki unnt að skilgreina hvaða persónuupplýsingar eru beinlínis nauðsynlegar fyrir vinnsluna. Þá verður að hafa í huga að þrátt fyrir að vinnsla persónuupplýsinga teljist hentug fyrir kennslu þá felst ekki sjálfkrafa í því að vinnslan sé nauðsynleg í þeim tilgangi.
3.
Ábyrgðaraðili og vinnsluaðili
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679 er nefndur ábyrgðaraðili. Er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðarinnar.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslu og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 23. gr. laganna og 1. mgr. 26. gr. reglugerðarinnar.
Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar.
3.1 Ábyrgð á vinnslu
Samkvæmt leiðbeiningum EDPB nr. 7/2020, um hugtökin ábyrgðaraðili og vinnsluaðili, eins og þær voru uppfærðar 7. júlí 2021, ber, við ákvörðun um hver telst vera ábyrgðaraðili vinnslu og hver telst vera vinnsluaðili, ekki einungis að líta til þeirra gagna sem fyrir liggja, til að mynda vinnslusamnings, heldur einnig hvernig fyrirkomulagi hafi raunverulega verið háttað, þ.e. hver hafi í reynd tekið ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga.
Af gögnum málsins er ljóst að Reykjanesbær tók ákvörðun um að nota Google-nemendakerfið í grunnskólum sveitarfélagsins og gerði vinnslusamning við Google þar að lútandi. Þá bera gögn málsins með sér að Reykjanesbær hefur tekið ákvörðun um ýmsar stillingar í nemendakerfinu og tekið afstöðu til þess hvaða vinnsla er þar heimil. Með því að ákveða að nota tiltekið upplýsingatæknikerfi í grunnskólastarfi til að veita nemendum kennslu, og beina nemendum í að nota það kerfi, ákveður Reykjanesbær í reynd tilgang og aðferðir við vinnslu persónuupplýsinga nemendanna í kerfinu. Að mati Persónuverndar er Reykjanesbær því ábyrgðaraðili vinnslu persónuupplýsinga nemenda í Google-nemendakerfinu.
Reykjanesbær hefur andmælt því að teljast ábyrgðaraðili vinnslu þjónustugagna og annarra gagna, sem fer fram í þágu þess að unnt sé að veita grunnþjónustu í Google-nemendakerfinu (hér eftir allt tilgreint sem þjónustugögn), samkvæmt skilmálum Google, þar sem fyrirtækið ákveði eitt tilgang og aðferðir þeirrar vinnslu. Að auki hefur Reykjanesbær andmælt því að teljast ábyrgðaraðili vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google, þar sem vinnslusamningur sveitarfélagsins við Google taki ekki til þeirrar vinnslu.
Samkvæmt a-lið 3. mgr. 28. gr. og 29. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili því aðeins vinna persónuupplýsingar, sem hann hefur aðgang að í umboði ábyrgðaraðila, að fyrir liggi fyrirmæli ábyrgðaraðilans, nema honum sé það skylt samkvæmt lögum Sambandsins eða lögum aðildarríkis. Vinnsluaðili getur því ekki tekið ákvörðun um að vinna þær persónuupplýsingar, sem hann kemst yfir sem vinnsluaðili, frekar í öðrum tilgangi án samráðs við hinn upphaflega ábyrgðaraðila.
Samkvæmt þeim gögnum sem liggja fyrir í málinu og skýringum Reykjanesbæjar hefur sveitarfélagið ekki gefið Google fyrirmæli um vinnslu þjónustugagna. Þá liggur ekki fyrir samkomulag um vinnslu þessara gagna í samræmi við ákvæði 26. gr. reglugerðar (ESB) 2016/679, sbr. 23. gr. laga nr. 90/2018. Að því virtu og með hliðsjón af framangreindum ákvæðum fellst Persónuvernd á þau sjónarmið Reykjanesbæjar að Google teljist ábyrgðaraðili vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins í þjónustugögnum. Með sömu rökum verður Google talið ábyrgðaraðili að vinnslu persónuupplýsinga í þágu viðbótarþjónustu, enda liggja ekki fyrir fyrirmæli sveitarfélagsins eða grunnskóla þess eða samkomulag milli þessara aðila hvað þá vinnslu varðar.
Á hinn bóginn ber Reykjanesbær ábyrgð á því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu unnar í Google-nemendakerfinu, enda er það sveitarfélagið sem tekur ákvörðun um notkun kerfisins. Þrátt fyrir að Google setji fram tilgang og aðferðir við vinnslu tiltekinna gagna, samkvæmt framansögðu, leysir það ekki Reykjanesbæ undan ábyrgðarskyldum sínum, líkt og rakið verður í næstu köflum hér á eftir.
Þar sem úttekt þessi beinist eingöngu að Reykjanesbæ verður ekki fjallað frekar um ábyrgð Google í þessu sambandi.
3.2 Ábyrgðarskylda Reykjanesbæjar við val á skýjaþjónustu og samningsgerð
Ábyrgðaraðili vinnslu persónuupplýsinga ber ábyrgð á því að vinnslan sé ávallt í samræmi við meginreglur um persónuvernd og skal geta sýnt fram á það, sbr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 5. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðili skal, í því sambandi, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar, sbr. 23. gr. laga nr. 90/2018 og 1. mgr. 24. gr. reglugerðarinnar.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 1. mgr. 26. gr. reglugerðarinnar og 23. gr. laganna. Þeir skulu, á gagnsæjan hátt, ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar með samkomulagi sín á milli nema og að því marki sem ábyrgð hvers ábyrgðaraðila um sig er ákveðin í lögum Sambandsins eða lögum aðildarríkis sem ábyrgðaraðilarnir heyra undir.
Þegar öðrum er falin vinnsla fyrir hönd ábyrgðaraðila skal ábyrgðaraðilinn einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að vernd réttinda hins skráða sé tryggð, sbr. 1. mgr. 25. gr. laga nr. 90/2018 og 1. mgr. 28. gr. reglugerðarinnar. Vinnsla af hálfu vinnsluaðila skal falla undir samning eða aðra réttargerð samkvæmt lögum, sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og þar sem tilgreint er m.a. viðfangsefni og tilgangur vinnslu, skyldur og réttindi ábyrgðaraðila og að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila, sbr. 3. mgr. 25. gr. laganna og 3. mgr. 28. gr. reglugerðarinnar.
Líkt og rakið er í fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 83) ætti ábyrgðaraðili, þegar hann felur tilteknum þjónustuveitanda vinnslu persónuupplýsinga, að meta vandlega hvort þjónustuveitandinn gerir honum kleift að sinna ábyrgðarskyldum sínum með fullnægjandi hætti, að virtu eðli, umfangi, samhengi og tilgangi vinnslunnar og að teknu tilliti til mögulegrar áhættu sem fylgir vinnslunni fyrir hina skráðu. Í leiðbeiningunum segir einnig (efnisgreinar 37 og 84) að ábyrgðaraðili verði að taka endanlega ákvörðun um að samþykkja, með virkum hætti, hvernig vinnslan fer fram hjá vinnsluaðila, a.m.k. að meginstefnu til. Í einhverjum tilvikum kann að vera eðlilegt fyrir vinnsluaðila að geta tekið sjálfstæðar ákvarðanir í tengslum við vinnsluna en þá ætti það að vera ljóst hvaða tilvik það eru og að hvaða marki það þykir eðlilegt að þessar ákvarðanir falli í skaut vinnsluaðila.
Af þeim dæmum sem eru sett fram í leiðbeiningunum (efnisgrein 81 og 84) má einnig ráða að þegar sveitarfélög semja við skýjaþjónustuveitendur, í sambærilegum tilgangi og hér er til umfjöllunar, heyrir það undir ábyrgð sveitarfélagsins, sem ábyrgðaraðila vinnslunnar, að gera fullnægjandi vinnslusamning og tryggja að þær persónuupplýsingar sem eru unnar á þess ábyrgð séu eingöngu unnar í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslunni. Einnig verður ráðið, af tilvísuðum dæmum, að þegar þjónustuveitandi ákveður upp á sitt einsdæmi að nota persónuupplýsingar, sem hann fær aðgang að á grundvelli vinnslusamnings við ábyrgðaraðila, t.d. til að þróa eigin starfsemi, teljist þjónustuveitandinn ábyrgðaraðili þeirrar vinnslu en vinnslan felur þá jafnframt í sér brot á reglugerð (ESB) 2016/679.
Að öllu framangreindu virtu og með hliðsjón af atvikum þessa máls heyrir það undir ábyrgðarskyldur Reykjanesbæjar að velja skýjaþjónustuveitanda sem gerir sveitarfélaginu kleift að sinna skyldum sínum samkvæmt persónuverndarlöggjöfinni með fullnægjandi hætti, að því virtu að um er að ræða vinnslu persónuupplýsinga barna í skólastarfi. Samkvæmt því hefði Reykjanesbær átt að tryggja, þegar samið var við Google um vinnslu persónuupplýsinga grunnskólanemenda sveitarfélagsins, að upplýsingarnar yrðu eingöngu unnar í þeim tilgangi sem sveitarfélagið tilgreindi fyrir vinnslunni. Að því marki sem nauðsynlegt gæti talist að Google tæki sjálfstæðar ákvarðanir um vinnslu persónuupplýsinga vegna þjónustu sinnar við Reykjanesbæ og reksturs kerfisins, hefði sveitarfélagið auk þess átt að taka afstöðu til þess að hvaða marki slíkt væri nauðsynlegt og heimilt.
Þar sem ekki er fjallað um vinnslu þjónustugagna eða vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google í vinnslusamningi Reykjanesbæjar og Google eða í sérstöku samkomulagi sameiginlegra ábyrgðaraðila, og með vísan til þess sem fram kemur í skýringum Reykjanesbæjar um að allar ákvarðanir sem lúti að vinnslu þjónustugagna séu teknar eingöngu af Google án nokkurrar þátttöku sveitarfélagsins og að sveitarfélagið hafi afar takmarkaðar upplýsingar um vinnsluna, er það niðurstaða Persónuverndar að Reykjanesbær hafi ekki sinnt ábyrgðarskyldum sínum samkvæmt 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018, sbr. 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.
Samkvæmt a-lið 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna, skal vinnslusamningur ábyrgðar- og vinnsluaðila einkum mæla fyrir um að vinnsluaðili vinni einungis persónuupplýsingar samkvæmt skjalfestum fyrirmælum ábyrgðaraðila nema vinnsluaðila sé annað skylt samkvæmt lögum en þá skal hann upplýsa ábyrgðaraðila um það áður en vinnsla hefst. Þar sem fyrirliggjandi vinnslusamningur Reykjanesbæjar og Google útilokar ekki að Google vinni persónuupplýsingar frekar, umfram fyrirmæli Reykjanesbæjar, eins og gögn málsins bera með sér að Google geri í raun, er það jafnframt niðurstaða Persónuverndar að vinnslusamningurinn samrýmist ekki framangreindum ákvæðum.
Samkvæmt 2. mgr. og d-lið 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, skal vinnsluaðili tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar á undirvinnsluaðilum sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum tækifæri til að andmæla slíkum breytingum.
Í ákvæði 11.4 b. í vinnslusamningi Reykjanesbæjar og Google segir að Google tilkynni viðskiptavini um nýjan undirvinnsluaðila og viðskiptavinurinn hafi 90 daga til að andmæla breytingunni með því að segja upp samningnum þegar í stað. Í framkomnum skýringum Reykjanesbæjar er því haldið fram að framangreindur tímafrestur gefi sveitarfélaginu nægan tíma til að koma á framfæri andmælum sínum við fyrirhugaðar breytingar á undirvinnsluaðilum. Að virtum fyrrgreindum leiðbeiningum EDPB nr. 7/2020 (efnisgrein 158) og með hliðsjón af skýrslu ráðsins frá 17. janúar 2023 vegna samræmdra eftirlitsaðgerða með notkun opinberra aðila á skýjaþjónustu, fellst Persónuvernd á þau sjónarmið Reykjanesbæjar.
4.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Við mat á heimild til vinnslu verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.), að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.). Þá skulu ábyrgðaraðilar geta sýnt fram á að vinnsla persónuupplýsinga samrýmist ávallt þessum meginreglum, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.
4.1 Vinnsluheimild og tilgangur
Ábyrgðaraðili skal ákveða skýrt tilgreindan, lögmætan og málefnalegan tilgang vinnslu persónuupplýsinga og tryggja að þær séu unnar með lögmætum hætti og eingöngu í tilgreindum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því felst að vinnsla persónuupplýsinga þarf að byggjast á viðeigandi vinnsluheimildum og þurfa ábyrgðaraðilar að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, sbr. 2. mgr. tilvísaðra greina. Til þess að vinnsla persónuupplýsinga sé lögmæt þarf tilgangur hennar og vinnsluheimildir að liggja fyrir áður en vinnsla hefst.
Reykjanesbær byggir vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á 3. og 5. tölul. 9. gr. laga nr. 90/2018, þar sem hún sé nauðsynleg til að fullnægja lagaskyldu sem hvíli á sveitarfélaginu og vegna verka sem unnin eru í þágu almannahagsmuna eða við beitingu opinbers valds sem sveitarfélagið fer með. Vísað er til þess að vinnslan lúti að almannahagsmunum, þ.e. að veita nemendum kennslu í samræmi við þær væntingar og kröfur sem gerðar eru til slíkrar starfsemi. Þá er tekið fram að tilgangur vinnslunnar sé kennslufræðilegur, m.a. að halda utan um og fara yfir verkefni nemenda og fylgjast með frammistöðu þeirra samkvæmt hæfnisviðmiðum aðalnámskrár.
Við mat á því hvort vinnsla persónuupplýsinga getur stuðst við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þarf að hafa í huga að vinnsluheimildin gerir almennt ráð fyrir því að lög mæli fyrir um að tiltekin vinnsla persónuupplýsinga skuli fara fram eða að nauðsyn vinnslunnar verði leidd af ákvæðum laga sem gilda um starfsemi ábyrgðaraðila. Eins og hér háttar til er það mat Persónuverndar að slík lagaskylda verði ekki leidd af tilvísuðum ákvæðum laga nr. 91/2008. Þegar byggt er á 5. tölul. 9. gr. laganna, sbr. e-lið 1. mgr. 6. gr. reglugerðarinnar, er aftur á móti gert ráð fyrir að stjórnvöld hafi ákveðið svigrúm til að meta hvaða vinnsla er nauðsynleg til að framfylgja lögbundnum verkefnum viðkomandi stjórnvalds með vísan til almannahagsmuna og beitingar opinbers valds. Persónuvernd hefur byggt á því í fyrri niðurstöðum sínum að sveitarfélög geti stutt vinnslu persónuupplýsinga grunnskólanemenda í upplýsingatæknikerfum við heimild 5. tölul. 9. gr. laganna, sbr. e-lið 1. mgr. 6. gr. reglugerðarinnar, í ljósi þeirra verkefna sem þeim eru falin með lögum nr. 91/2008 og réttarheimildum sem settar eru með stoð í þeim lögum. Vísast um þetta atriði til kafla III. 4.1 í fyrrgreindri ákvörðun stofnunarinnar í máli nr. 2021040879.
Krafa vinnsluheimildarinnar um að vinnsla sé nauðsynleg í tilteknum tilgangi og í þágu tilgreindra hagsmuna endurspeglar meginreglu persónuverndarlöggjafarinnar um meðalhóf. Það ræðst af aðstæðum hverju sinni hvort vinnsla telst nauðsynleg. Ábyrgðaraðilum er falið visst mat í þeim efnum en þeir þurfa að meta nauðsyn fyrir hvern og einn þátt vinnslunnar í þágu skilgreinds tilgangs. Matið, fyrir hvern og einn þátt vinnslunnar, ræðst svo af hagsmunum af tilteknu verki og hvort hægt er að gæta þeirra hagsmuna með einhverjum þeim hætti sem felur í sér takmarkaðri vinnslu persónuupplýsinga. Við það mat ber meðal annars að líta til umfangs vinnslunnar og eðlis og efnis þeirra upplýsinga sem unnið er með. Þannig ber t.a.m. að gera ríkari kröfur að því er varðar nauðsyn vinnslu upplýsinga um hrein einkamálefni einstaklinga sem er sanngjarnt og eðlilegt að fari leynt. Vinnsla viðkvæmra persónuupplýsinga þarf að auki að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laga nr. 90/2018, sbr. 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Þá hefur Persónuvernd einnig lagt til grundvallar, við mat á nauðsyn vinnslu, að rétt sé að líta til þess hvort hinir skráðu eru börn, enda njóta persónuupplýsingar þeirra sérstakrar verndar, sbr. 38. lið formálsorða reglugerðarinnar. Í því sambandi verður, hvað umrædda vinnslu varðar, m.a. að líta til aldurs og þroska barnanna, þeirrar stöðu sem þau eru í gagnvart skólanum sínum, magns þeirra gagna sem hætta er á að safnist yfir skólagöngu þeirra, og aðgangs Google að persónuupplýsingum þeirra til vinnslu í eigin þágu.
Til þess að unnt sé að meta nauðsyn vinnslu, sem og að tryggja gagnsæi hennar, þarf tilgangur vinnslunnar jafnframt að vera skýrt afmarkaður til að komið sé í veg fyrir að fella megi næstum hvað sem er undir hann.
Í fyrrgreindri vinnsluskrá Reykjanesbæjar, sem einnig er hluti af mati sveitarfélagsins á áhrifum á persónuvernd fyrir umrædda vinnslu, er tilgangur vinnslunnar nánar tilgreindur. Að mati Persónuverndar er tilgangur sumra vinnsluaðgerða nægilega skýrt tilgreindur, sbr. það sem rakið er í kafla II. 1. Þar sem tilgangur vinnslu er tilgreindur sem kennslufræðilegur og veiting þjónustu við nemendur telur Persónuvernd á hinn bóginn að tilgreina þurfi tilganginn með skýrari hætti til þess að unnt sé að meta hvort tiltekinn vinnsluþáttur tiltekinna persónuupplýsinga er í raun nauðsynlegur. Það sama á við þar sem segir að tilgangur með skráningu nemenda í valgreinar eða valhópa sé að skrá nemendur í hópa enda kemur ekki fram hvers vegna slík skráning þarf að fara fram í nemendakerfinu. Með hliðsjón af því hvernig önnur sveitarfélög, sem sæta sömu úttekt, hafa tilgreint tilgang einstakra vinnsluaðgerða í Google-nemendakerfinu, telur Persónuvernd þó unnt að líta svo á að vinnsla persónuupplýsinga viðskiptavinarins, þ.e. þeirra persónuupplýsinga sem vinnslusamningur Reykjanesbæjar og Google nær til, geti talist nauðsynleg vegna verkefnis sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds, sem Reykjanesbær fer með samkvæmt lögum nr. 91/2008, og því verið heimil á grundvelli 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Hvað varðar vinnslu persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google áréttar Persónuvernd niðurstöðu sína um ábyrgðarskyldur Reykjanesbæjar sem lýst er í kafla IV. 3.2.
Þegar Reykjanesbær ákveður að taka í notkun skýjaþjónustu í grunnskólastarfi og beina nemendum í að nota það kerfi, ber sveitarfélagið ábyrgð á því að persónuupplýsingar nemendanna séu ekki notaðar í öðrum og ósamrýmanlegum tilgangi en þeim sem er tilgreindur fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Á það einnig við um vinnslu persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google. Í því sambandi ber Reykjanesbær að meta hvort einstakir vinnsluþættir, í tengslum við þá vinnslu, samrýmast þeim tilgangi sem er forsenda söfnunar persónuupplýsinganna í upphafi, í samræmi við 4. mgr. 6. gr. reglugerðar (ESB) 2016/679. Það að Google setji fram tilgang og aðferðir við umrædda vinnslu leysir Reykjanesbæ ekki undan þeirri ábyrgðarskyldu. Af framangreindum ákvæðum leiðir jafnframt að vinnsla persónuupplýsinga í þjónustugögnum og í þágu viðbótarþjónustu Google, í öðrum og ósamrýmanlegum tilgangi en þeim sem er að baki söfnun upplýsinganna, getur ekki talist heimil á grundvelli 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Af persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice) er ljóst að persónuupplýsingum er safnað í þjónustugögnum í öðrum tilgangi en að veita skýjaþjónustuna og tæknilega aðstoð í tengslum við hana, s.s. til að betrumbæta þjónustuna og aðra þjónustu sem viðskiptavinir nota og kynna nýja virkni fyrir viðskiptavinum og skylda þjónustu. Af persónuverndarstefnu fyrir Google-nemendakerfið (e. Google Workspace for Education Privacy Notice) er jafnframt ljóst að persónuupplýsingum er safnað í þágu viðbótarþjónustu í öðrum tilgangi s.s., til að betrumbæta þjónustuna, þróa nýja þjónustu, veita persónusniðna þjónustu og greina hvernig þjónustan er notuð. Þá liggur fyrir, samkvæmt skilmálum Google um samþykki vegna vinnslu persónuupplýsinga í nemendakerfinu (e. Google Workspace for Education School Consent), að fyrirtækið safnar m.a. upplýsingum um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því skyni að veita grunnþjónustu í kerfinu. Ekki er þó skýrt frekar hvernig þessar upplýsingar nýtast í þeim tilgangi og hefur Reykjanesbær ekki tekið sjálfstæða afstöðu til þess hvort vinnsla þeirra er nauðsynleg í þeim tilgangi sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í nemendakerfinu.
Að öllu framangreindu virtu er það niðurstaða Persónuverndar að Reykjanesbær hefur ekki gætt þess að persónuupplýsingar grunnskólanemenda sveitarfélagsins í Google-nemendakerfinu séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslu persónuupplýsinga í kerfinu og sem leiða má af verkefnum sveitarfélagsins samkvæmt lögum nr. 91/2008 um grunnskóla, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.
4.2 Meðalhóf og lágmörkun gagna
Persónuupplýsingar skulu vera nægilegar, viðeigandi og takmarkast við það sem er nauðsynlegt miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Í 1. og 2. mgr. 24. gr. laganna og 1. og 2. mgr. 25. gr. reglugerðarinnar er kveðið á um innbyggða og sjálfgefna persónuvernd. Samkvæmt ákvæðum um innbyggða persónuvernd skal ábyrgðaraðili gera tæknilegar og skipulagslegar ráðstafanir sem hannaðar eru til að framfylgja meginreglum um persónuvernd, þ. á m. lágmörkun gagna, og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðar (ESB) 2016/679. Ákvæðin um sjálfgefna persónuvernd kveða á um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Þessi skylda gildir um það hversu miklum persónuupplýsingum er safnað, að hvaða marki er unnið með þær, hversu lengi þær eru varðveittar og aðgang að þeim.
Í þessu sambandi verða áréttaðar framangreindar niðurstöður Persónuverndar, sbr. kafla IV. 3.2 og 4.1, sem lúta að ábyrgðarskyldum Reykjanesbæjar hvað viðkemur vinnslu Google á persónuupplýsingum grunnskólanemenda sveitarfélagsins samkvæmt eigin skilmálum. Verður sveitarfélagið enn fremur ekki talið hafa uppfyllt ábyrgðarskyldur sínar sem lúta að innbyggðri og sjálfgefinni persónuvernd samkvæmt framangreindum ákvæðum þar sem ekki hafa verið gerðar viðeigandi skipulagslegar ráðstafanir til að framfylgja meginreglum um persónuvernd og til að tryggja að einungis sé unnið með persónuupplýsingar grunnskólanemenda að því marki sem nauðsynlegt er vegna tilgreinds tilgangs.
Af svörum Reykjanesbæjar er þó ljóst að sveitarfélagið hefur takmarkað vinnslu persónuupplýsinga í Google-nemendakerfinu með ýmsum valkvæðum stillingum og stýringum í lausninni, sbr. nánari umfjöllun í kafla III. 6.2 hér að framan. Með hliðsjón af því er fallist á þau sjónarmið Reykjanesbæjar að sveitarfélagið hafi gripið til ýmissa aðgerða sem takmarka vinnslu persónuupplýsinga í þágu innbyggðrar og sjálfgefinnar persónuverndar.
4.3 Varðveislutími persónuupplýsinga
Persónuupplýsingar skulu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslunnar, sbr. 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Upplýsingar má með öðrum orðum ekki varðveita á persónugreinanlegu formi lengur en nauðsyn krefur í ljósi þess tilgangs sem var með söfnun þeirra og vinnslu. Samkvæmt ábyrgðarskyldu 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar þurfa ábyrgðaraðilar að geta sýnt fram á að þessu sé fylgt. Samkvæmt því sem þegar hefur verið rakið í kafla IV. 4.1 hér á undan er mikilvægt að tilgangur vinnslunnar sé skýrt afmarkaður til að unnt sé að meta nauðsyn varðveislu. Þá taka ákvæði um sjálfgefna persónuvernd einnig til þess hversu lengi persónuupplýsingar eru varðveittar, sbr. umfjöllun í kaflanum hér á undan.
Líkt og greinir í kafla IV. 4.1 hefur Reykjanesbær ekki tilgreint tilgang einstakra vinnsluaðgerða með nægilega skýrum hætti. Samkvæmt vinnsluskrám Reykjanesbæjar voru gögn nemenda almennt varðveitt í Google-nemendakerfinu þar til skólagöngu þeirra lyki án þess að lagt væri mat á það að hvaða leyti sá langi varðveislutími samrýmdist tilgreindum tilgangi. Var þessi framkvæmd ekki í samræmi við 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 2. mgr. 24. gr. laganna og 2. mgr. 25. gr. reglugerðarinnar um sjálfgefna persónuvernd.
Samkvæmt svörum Reykjanesbæjar hefur sveitarfélagið breytt þessari framkvæmd og er gögnum nemenda nú eytt úr Google-nemendakerfinu í lok hvers skólaárs, eftir að nemendur hafi fengið tækifæri til að taka sín gögn. Telur Persónuvernd ekki tilefni til að gera athugasemd við þetta fyrirkomulag, að því virtu að sveitarfélagið tilgreini tilgang einstakra vinnsluaðgerða nægilega skýrt til þess að unnt sé að meta nauðsyn varðveislunnar hverju sinni.
Hvað varðar varðveislutíma Google á þeim persónuupplýsingum grunnskólanemenda sem fyrirtækið vinnur samkvæmt eigin skilmálum liggur ekki annað fyrir en það sem segir í persónuverndarstefnu Google fyrir skýjaþjónustu (e. Google Cloud Privacy Notice), en þar segir að upplýsingarnar séu varðveittar eins lengi og Google telji nauðsynlegt í tilgreindum tilgangi, t.d. til að koma í veg fyrir svik og misnotkun. Telur Persónuvernd að það heyri undir ábyrgðarskyldu Reykjanesbæjar, í samræmi við fyrrgreindar niðurstöður, að afla sér allra upplýsinga um varðveislutíma persónuupplýsinga grunnskólanemenda sveitarfélagsins sem eru unnar af Google og taka skýra afstöðu þar að lútandi.
5.
Mat á áhrifum á persónuvernd
5.1 Skylda til að framkvæma mat á áhrifum á persónuvernd
Ef líklegt er að vinnsla persónuupplýsinga geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst og getur eitt mat tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti, sbr. 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679.
Með vísan til umfjöllunar í kafla IV. 2., sem og til þess að um er að ræða flókna tækni, skýjaþjónustu, sem beitt er á nýjan hátt, þ.e. til að veita skólabörnum kennslu, þykir ljóst að vinnslan krefst mats á áhrifum á persónuvernd, sbr. 8. tölul. 3. gr. auglýsingar nr. 828/2019, sbr. 1. og 2. mgr. 29. gr. laga nr. 90/2018 og 1. og 4. mgr. 35. gr. reglugerðar (ESB) 2016/679. Þar að auki fer fram námsmat í kerfinu, samkvæmt vinnsluskrá Reykjanesbæjar, en skylt er að framkvæma mat á áhrifum þeirra vinnsluaðgerða, sbr. 4. og 9. tölul. auglýsingar nr. 828/2019.
Í samræmi við 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðarinnar skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, áður en vinnslan hefst. Ákvæðið á sér ekki beina hliðstæðu í eldri lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þess er þó að geta að í 11. gr. þeirra laga var mælt fyrir um áhættumat, öryggi og gæði persónuupplýsinga.
Vinnuhópur skv. 29. gr. tilskipunar ESB gaf út leiðbeiningar 4. apríl 2017 um mat á áhrifum á persónuvernd (e. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/679), síðast breytt 4. október 2017, WP248. Í leiðbeiningunum er vikið að því að ábyrgðaraðila kunni að vera skylt að framkvæma mat á áhrifum á persónuvernd vegna vinnslu sem hófst áður en reglugerð (ESB) 2016/679 tók gildi, að því gefnu að vinnsluaðgerðir hafi tekið breytingum frá því áhætta var metin, t.d. hvað varðar umfang, tilgang, varðveislutíma, öryggisráðstafanir o.s.frv. og líklegt er að þær breytingar hafi í för með sér mikla áhættu. Er þetta í samræmi við ákvæði 11. mgr. 35. gr. reglugerðarinnar en þar segir að ábyrgðaraðili skuli endurskoða hvort vinnsla fer fram í samræmi við mat á áhrifum á persónuvernd, a.m.k. þegar breyting verður á þeirri áhættu sem fylgir vinnsluaðgerðum.
Með hliðsjón af framangreindu er til þess að líta að skilmálar fyrir Google-nemendakerfið hafa tekið ýmsum breytingum síðustu ár og sú tækni sem er til skoðunar er í stöðugri þróun. Líkt og Reykjanesbær bendir á í svarbréfi sínu 29. apríl 2022 er sú þróun á forræði skýjaþjónustuveitandans og telur Persónuvernd að það hefði átt að kalla á nýtt og skjalfest áhættumat við gildistöku laga nr. 90/2018, að virtum ríkari ábyrgðarskyldum samkvæmt lögunum og reglugerð (ESB) 2016/679. Hefði enn fremur verið tilefni til að leggja nýtt mat á áhættu af umræddri vinnslu í kjölfar dóms Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II), þar sem ógilt var ákvörðun framkvæmdastjórnar Evrópusambandsins um friðhelgisskjöld (e. Privacy Shield). Af dómnum má ráða að mikil áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið væri til viðeigandi verndarráðstafana enda höfðu bandarískar eftirlitsstofnanir, á þeim tíma sem um ræðir, víðtækar heimildir að lögum til að nota upplýsingarnar án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga.
Persónuvernd áréttar í þessu sambandi þau sjónarmið sem rakin eru í kafla IV. 3.2. um ábyrgðarskyldur ábyrgðaraðila, sem fela m.a. í sér að hann skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar, sbr. 23. gr. laga nr. 90/2018 og 1. mgr. 24. gr. reglugerðarinnar. Í því felst meðal annars að bera kennsl á og lágmarka áhættu í tengslum við vinnslu persónuupplýsinga.
Með hliðsjón af framangreindu telur Persónuvernd að Reykjanesbæ hafi verið skylt að framkvæma mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu eftir gildistöku laga nr. 90/2018, þrátt fyrir að sveitarfélagið hafi tekið kerfið í notkun í gildistíð eldri laga nr. 77/2000.
5.2 Efnistök matsins
Ábyrgðaraðilar geta notfært sér mismunandi aðferðir við framkvæmd mats á áhrifum á persónuvernd en samkvæmt 84. lið formálsorða reglugerðarinnar ætti einkum að meta uppruna, eðli, sérkenni og alvarleika þeirrar áhættu sem leiðir af vinnsluaðgerðum. Samkvæmt 7. mgr. 35. gr. reglugerðarinnar skal matið að lágmarki innihalda kerfisbundna lýsingu á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni (a-liður ákvæðisins), mat á því hvort vinnsluaðgerðirnar eru nauðsynlegar og hóflegar miðað við tilganginn með þeim (b-liður), mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga (c-liður) og lýsingu á þeim ráðstöfunum sem fyrirhugað er að grípa til gegn slíkri áhættu, þ.m.t. verndarráðstafanir, öryggisráðstafanir og fyrirkomulag við að tryggja vernd persónuupplýsinga (d-liður).
Ítarleg grein er gerð fyrir mati Reykjanesbæjar á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, sem fylgdi með svarbréfi sveitarfélagsins 15. september 2023, í kafla II. 2. Hér verður aðeins farið yfir þau atriði sem Persónuvernd telur ekki samrýmast lágmarkskröfum 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
Að virtum fyrri niðurstöðum, sbr. kafla IV. 3.2 og 4.1 hér á undan, telur Persónuvernd að mat Reykjanesbæjar hafi ekki uppfyllt skilyrði a-liðar 7. mgr. 35. gr. reglugerðarinnar þar sem ekki er gerð viðhlítandi grein fyrir vinnsluaðgerðum samkvæmt skilmálum Google. Í skýringum Reykjanesbæjar segir að sveitarfélagið hafi takmarkaðar upplýsingar um vinnslu Google á persónuupplýsingum í þjónustugögnum þar sem sveitarfélagið sé ekki ábyrgðaraðili vinnslunnar. Þá ákveði grunnskólar sveitarfélagsins sjálfir hvaða viðbótarþjónustur séu notaðar samhliða nemendakerfinu. Persónuvernd áréttar að í ábyrgðarskyldu Reykjanesbæjar felst m.a. að hafa yfirsýn yfir söfnun og vinnslu persónuupplýsinga grunnskólanemenda sem fer fram í Google-nemendakerfinu, enda tók sveitarfélagið ákvörðun um að nemendur þess skyldu nota kerfið og er ábyrgt fyrir því að persónuupplýsingar þeirra rati þangað.
Kerfisbundin lýsing á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni er enn fremur forsenda þess að ábyrgðaraðili geti metið næsta þátt matsins með víðhlítandi hætti, þ.e. hvort vinnsluaðgerðir eru nauðsynlegar og hóflegar miðað við tilgang þeirra. Af því leiðir að mat Reykjanesbæjar uppfyllir heldur ekki skilyrði b-liðar 7. mgr. 35. gr. reglugerðarinnar. Við mat samkvæmt því ákvæði kann t.a.m. að koma í ljós að tilteknar vinnsluaðgerðir eru ekki nauðsynlegar til að ná því markmiði sem stefnt er að og rúmast ekki innan þeirrar vinnsluheimildar sem byggt er á.
Loks telur Persónuvernd að í matinu sé ekki lagt viðeigandi mat á áhættu fyrir réttindi og frelsi grunnskólanemenda, sbr. c-lið 7. mgr. 35. gr. reglugerðarinnar. Í því sambandi má hafa hliðsjón af 84. og 90. lið formálsorða reglugerðarinnar, sem og 75. lið þeirra. Með hliðsjón af virkni Google-nemendakerfisins og þeim skilmálum sem gilda um kerfið telur Persónuvernd að meta hefði þurft sérstaklega áhættu samfara aðgengi Google að persónuupplýsingum nemenda til vinnslu í eigin þágu.
Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að umrætt mat Reykjanesbæjar á áhrifum á persónuvernd standist ekki lágmarkskröfur 35. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 29. gr. laga nr. 90/2018.
-
Samkvæmt 1. mgr. 30. gr. laga nr. 90/2018, sbr. 1. mgr. 36. gr. reglugerðar (ESB) 2016/679, skal ábyrgðaraðili hafa samráð við Persónuvernd, ef mat á áhrifum á persónuvernd gefur til kynna að vinnsla muni hafa mikla áhættu í för með sér.
Persónuvernd telur tilefni til að árétta mikilvægi þess að samráðs sé leitað við stofnunina, ef talið er að vinnslunni fylgi mikil áhætta fyrir hina skráðu og ef vafi leikur á um að unnt sé að draga úr áhættunni með fullnægjandi ráðstöfunum af hendi ábyrgðaraðila.
Í þessu sambandi eru áréttuð þau sjónarmið sem rakin eru í kafla IV. 2. um vinnslu persónuupplýsinga barna í skólastarfi. Einnig er að líta til eðlis þeirra upplýsinga sem eru unnar í Google-nemendakerfinu, þ.e. endurgjöf eða mat kennara á verkefnum og aðrar persónuupplýsingar sem varða hrein einkamálefni nemendanna, s.s. í verkefnum þeirra, sem og áhættunnar á því að viðkvæmar persónuupplýsingar verði skráðar í kerfið. Að teknu tilliti til einstakra ákvæða í skilmálum Google, t.d. um vinnslu upplýsinga um staðsetningu tækja eins og hún ákvarðast af mismunandi tækni, þ. á m. IP-tölu, GPS og öðrum nemum, í því almenna skyni að veita grunnþjónustu, er enn fremur að líta til fullyrðinga Reykjanesbæjar í framkomnum skýringum. Segir þar, nánar tiltekið, að sveitarfélagið hafi engin völd, aðstöðu eða réttindi til að veita upplýsingar um alla vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu, að sveitarfélagið hafi enga aðkomu haft að því að semja einhliða skilmála Google, þar sem frekari vinnslu persónuupplýsinga grunnskólanemendanna er lýst, og að það sé staðreynd, m.a. samkvæmt yfirlýsingum Google, að ekki sé hægt að veita neina skýjaþjónustu, af því tagi sem hér um ræðir, án vinnslu upplýsinga, eins og þeirra sem eru skilgreindar sem þjónustugögn í skilmálum Google.
Telur Persónuvernd að allt það sem hér hefur verið rakið hefði átt að leiða til þess að Reykjanesbær hefði samráð við Persónuvernd eftir að hafa framkvæmt fullnægjandi mat á áhrifum á persónuvernd fyrir umrædda vinnslu persónuupplýsinga.
6.
Miðlun persónuupplýsinga til þriðju landa
Miðlun persónuupplýsinga til þriðju landa, þ.e. landa utan Evrópska efnahagssvæðisins, er eingöngu heimil ef farið er að ákvæðum V. kafla reglugerðar (ESB) 2016/679, sem ætlað er að tryggja fullnægjandi vernd við miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana, sbr. 44. gr. reglugerðarinnar. Í tilvísuðu ákvæði segir jafnframt að beita skuli öllum ákvæðum kaflans þannig að tryggja megi að ekki sé grafið undan vernd einstaklinga sem tryggð er með reglugerðinni.
Samkvæmt 1. mgr. 45. gr. reglugerðarinnar er miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana heimil ef framkvæmdastjórnin hefur ákveðið að þriðja landið, yfirráðasvæði eða einn eða fleiri tilgreindir geirar innan viðkomandi þriðja lands eða umrædd alþjóðastofnun tryggi fullnægjandi vernd. Slík miðlun þarfnast ekki sérstakrar heimildar. Ef ekki liggur fyrir jafngildis-ákvörðun samkvæmt 45. gr. reglugerðarinnar getur ábyrgðaraðili eða vinnsluaðili aðeins miðlað persónuupplýsingum til þriðja lands hafi hann gert viðeigandi verndarráðstafanir og með því skilyrði að fyrir hendi séu framfylgjanleg réttindi og skilvirk lagaleg úrræði fyrir skráða einstaklinga, sbr. 1. mgr. 46. gr. reglugerðarinnar.
Samkvæmt ákvæði 10.1 í fyrirliggjandi vinnslusamningi Reykjanesbæjar og Google getur vinnsla persónuupplýsinga farið fram í þeim löndum þar sem Google eða undirvinnsluaðilar fyrirtækisins hafa aðstöðu. Af gögnum málsins er enn fremur ljóst að Google og hluti undirvinnsluaðila fyrirtækisins hafa aðstöðu í Bandaríkjunum. Í skýringum Reykjanesbæjar kemur fram að Google geti ekki staðfest hvort gögn sem unnin eru í Google-nemendakerfinu eru vistuð eða að öðru leyti unnin í Bandaríkjunum.
Með hliðsjón af framangreindu telur Persónuvernd ekki útilokað að persónuupplýsingar grunnskólanemenda Reykjanesbæjar í Google-nemendakerfinu séu unnar í Bandaríkjunum.
Jafngildisákvörðun varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna var samþykkt af framkvæmdastjórn Evrópusambandsins 10. júlí 2023. Miðlun persónuupplýsinga til Bandaríkjanna féll því ekki undir fyrrgreinda 45. gr. reglugerðarinnar á þeim tíma þegar úttekt þessi hófst og fram til 10. júlí sl.
Samkvæmt fyrirliggjandi vinnslusamningi var á þessum tíma treyst á staðlaða samningsskilmála vegna miðlunar persónuupplýsinga til þriðju landa, sbr. c-lið 2. mgr. 46. gr. reglugerðar (ESB) 2016/679. Auk þess hefur Reykjanesbær vísað til lýsinga Google á þeim viðbótarverndarráðstöfunum sem eru viðhafðar vegna miðlunar persónuupplýsinga til þriðju landa.
Í dómi Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II) er tekið fram að við miðlun persónuupplýsinga til þriðju landa þurfi að tryggja sambærilega vernd og almenna persónuverndarreglugerðin kveður á um, óháð því hvaða ákvæði V. kafla reglugerðar (ESB) 2016/679 stuðst er við, en slíkt leiði af 44. gr. reglugerðarinnar. Styðjist ábyrgðaraðili við staðlaða samningsskilmála við flutning persónuupplýsinga til þriðja lands þarf hann því að tryggja í framkvæmd að skilmálarnir veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skal slík ákvæði þurfa ábyrgðaraðilar að leggja mat á hvort viðtökulandið veitir fullnægjandi vernd. Í því sambandi var í dómi Evrópudómstólsins sérstaklega nefnt að í Bandaríkjunum hefðu eftirlitsstofnanir víðtækar heimildir, samkvæmt lögum, til að nota persónuupplýsingar sem fluttar væru frá Evrópusambandinu til Bandaríkjanna án þess að þurfa að gæta að persónuvernd einstaklinga. Af dómnum má jafnframt ráða að stöðluð samningsákvæði hafi ekki getað komið í veg fyrir slíkan aðgang erlendra eftirlitsstofnana og því hefðu ábyrgðaraðilar getað þurft að innleiða viðbótarverndarráðstafanir samhliða stöðluðum samningsskilmálum til að tryggja í framkvæmd að skilmálarnir veittu sambærilega vernd.
Í tilmælum EDPB frá 18. júní 2020 nr. 1/2020 um ráðstafanir til flutnings persónuupplýsinga úr landi (e. Recommendations on measures that supplement transfer tools to ensure compliance with EU level of protection of personal data) eru nánari upplýsingar um hvers ábyrgðaraðilum ber að gæta við flutning persónuupplýsinga til þriðju landa, meðal annars með hliðsjón af framangreindum dómi Evrópudómstólsins. Hvað varðar mögulegan aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa segir í tilmælunum að samningsbundnar og skipulagslegar viðbótarráðstafanir dugi almennt ekki til að koma í veg fyrir slíkan aðgang, heldur þurfi jafnframt að innleiða tæknilegar ráðstafanir, svo sem dulkóðun. Í tilmælunum er jafnframt lögð áhersla á að haldið sé utan um dulkóðunarlykla á ábyrgan hátt og af traustum aðilum innan Evrópska efnahagssvæðisins eða annarra ríkja sem tryggja persónuupplýsingum fullnægjandi vernd.
Af lýsingum Google er ljóst að persónuupplýsingar eru dulkóðaðar í gagnagrunni Google-nemendakerfisins, sem og í flutningi. Google key management service (KMS) varðveitir dulkóðunarlykilinn en viðskiptavinir eiga einnig kost á að stjórna varðveislu lykilsins fyrir tiltekna þjónustu. Reykjanesbær hefur ekki sýnt fram á að sveitarfélagið hafi nýtt þann möguleika. Persónuvernd telur því að leggja verði til grundvallar að dulkóðunarlykillinn hafi verið varðveittur af Google KMS, sem er á hendi sömu fyrirtækjasamstæðu og annaðist hýsingu og dulkóðun persónuupplýsinga fyrir hönd Reykjanesbæjar. Að mati Persónuverndar dregur það fyrirkomulag verulega úr verndargildi dulkóðunarinnar. Þá verður ekki séð að aðrar tæknilegar ráðstafanir, s.s. aðgangsstýringar, sem viðhafðar eru í Google-nemendakerfinu, hafi getað komið í veg fyrir aðgang erlendra eftirlitsstofnana að persónuupplýsingum sem miðlað er til þriðju landa.
Með hliðsjón af því sem hér hefur verið rakið telur Persónuvernd að Reykjanesbær hafi ekki sýnt fram á að hafa gert fullnægjandi viðbótarverndarráðstafanir í tengslum við flutning persónuupplýsinga til Bandaríkjanna, fram til 10. júlí 2023. Því hafi sveitarfélagið ekki uppfyllt skilyrði 46. gr. reglugerðar (ESB) 2016/679, og hafi miðlun persónuupplýsinga til Bandaríkjanna, á grundvelli vinnslusamnings sveitarfélagsins við Google, þar af leiðandi verið andstæð 44. gr. reglugerðarinnar.
7.
Samantekt niðurstöðu
Persónuvernd hefur komist að þeirri niðurstöðu að vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Reykjanesbæjar hafi ekki verið í samræmi við ákvæði persónuverndarlöggjafarinnar.
Í fyrsta lagi telst Reykjanesbær ekki hafa uppfyllt ábyrgðarskyldur sínar þegar lagt var mat á og tekin ákvörðun um að nota Google sem vinnsluaðila umræddrar vinnslu, sbr. 8. gr., 23. gr. og 1. mgr. 25. gr. laga nr. 90/2018 og 5. gr., 1. mgr. 24. gr. og 1. mgr. 28. gr. reglugerðar (ESB) 2016/679.
Í öðru lagi telst vinnslusamningur Reykjanesbæjar og Google ekki uppfylla skilyrði a-liðar 3. mgr. 28. gr. reglugerðarinnar, sbr. 3. mgr. 25. gr. laganna.
Í þriðja lagi telst Reykjanesbær ekki hafa tilgreint tilgang einstakra vinnsluaðgerða með nægilega skýrum hætti og ekki uppfyllt ábyrgðarskyldur sínar sem lúta að því að persónuupplýsingar grunnskólanemenda sveitarfélagsins séu ekki unnar í öðrum og ósamrýmanlegum tilgangi en þeim sem sveitarfélagið hefur tilgreint fyrir vinnslunni, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar.
Í fjórða lagi telst Reykjanesbær ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að lágmörkun gagna og innbyggðri og sjálfgefinni persónuvernd samkvæmt 3. tölul. 1. mgr. 8. gr. og 1. og 2. mgr. 24. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. og 1. og 2. mgr. 25. gr. reglugerðar (ESB) 2016/679.
Í fimmta lagi telst Reykjanesbær ekki hafa uppfyllt ábyrgðarskyldur sínar sem lúta að geymslutakmörkun og sjálfgefinni persónuvernd samkvæmt 5. tölul. 1. mgr. 8. gr. og 2. mgr. 24. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 5. gr. og 2. mgr. 25. gr. reglugerðar (ESB) 2016/679.
Í sjötta lagi gerði Reykjanesbær ekki tímanlega mat á áhrifum á persónuvernd fyrir umrædda vinnslu samkvæmt 1. og 11. mgr. 35. gr. reglugerðar (ESB) 2016/679 og 1. mgr. 29. gr. laga nr. 90/2018, og uppfyllti því ekki ábyrgðarskyldur sínar samkvæmt 23. gr. laganna og 1. mgr. 24. gr. reglugerðarinnar. Að auki stenst fyrirliggjandi mat sveitarfélagsins ekki lágmarkskröfur a-c-liða 7. mgr. 35. gr. reglugerðarinnar, sbr. 1. mgr. 29. gr. laganna.
Í sjöunda lagi tryggði Reykjanesbær ekki öruggan flutning persónuupplýsinga til Bandaríkjanna, sbr. 46. gr. reglugerðar (ESB) 2016/679, og braut því gegn 44. reglugerðarinnar.
V.
Beiting fyrirmæla og stjórnvaldssekta
1.
Fyrirmæli
Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Reykjanesbæ að færa vinnslu persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu til samræmis við löggjöfina.
Í því sambandi vill Persónuvernd draga fram þau atriði sem stofnunin telur sérstaklega áríðandi að huga að til þess að heimilt geti verið fyrir sveitarfélagið að halda áfram notkun Google-nemendakerfisins. Rétt er að taka fram að með hliðsjón af jafngildisákvörðun framkvæmdastjórnar Evrópusambandsins, dags. 10. júlí 2023, um flutning persónuupplýsinga frá Evrópu til Bandaríkjanna kemur ekki til skoðunar að beina fyrirmælum til Reykjanesbæjar sem lúta að öruggum flutningi persónuupplýsinga til Bandaríkjanna.
Telur Persónuvernd ekki tilefni til að mæla fyrir um stöðvun vinnslu í Google-nemendakerfinu ef Reykjanesbær telur mögulegt að færa vinnsluna til samræmis við persónuverndarlöggjöfina samkvæmt eftirfarandi:
1. Reykjanesbær kortleggi hvaða vinnsla persónuupplýsinga grunnskólanemenda sveitarfélagsins fer í raun fram í Google-nemendakerfinu og í hvaða tilgangi. Á það við um allar vinnsluaðgerðir, hvort sem þær eru á hendi sveitarfélagsins eða Google.
2. Reykjanesbær skjalfesti mat sitt á einstökum vinnsluaðgerðum, samkvæmt lið 1, til samræmis við ákvæði 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b- og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 4. mgr. 6. gr. reglugerðarinnar, þ. á m. mat á því, í hvaða tilvikum Google getur tekið sjálfstæðar ákvarðanir í tengslum við vinnslu, sem fer fram samkvæmt fyrirmælum sveitarfélagsins, og að hvaða marki.
3. Reykjanesbær geri viðeigandi breytingar á vinnslusamningi við Google í samræmi við ákvæði 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018. Í vinnslusamningi sé tilgreint með skýrum og gagnsæjum hætti um hvaða vinnslu er samið og tekin af öll tvímæli um að önnur vinnsla, en sú sem Reykjanesbær veitir fyrirmæli um og er í samræmi við tilgreindan tilgang, fari ekki fram.
4. Reykjanesbær uppfæri mat sitt á áhrifum á persónuvernd í samræmi við liði 1 og 2 og til samræmis við 7. mgr. 35. gr. reglugerðar (ESB) 2016/679 og 1. mgr. 29. gr. laga nr. 90/2018.
Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.
2.
Stjórnvaldssekt
Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018 getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. sömu lagagreinar.
Sekt samkvæmt 2. mgr. 46. gr. laganna getur numið allt frá 100.000 krónum til 1,2 milljarða króna eða allt að 2% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 28. og 35. gr. reglugerðar (ESB) 2016/679.
Sekt samkvæmt 3. mgr. 46. gr. laganna getur numið frá 100.000 krónum til 2,4 milljarða króna eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu, þegar brotið hefur verið gegn meðal annars 5., 44. og 46. gr. reglugerðarinnar.
Með hliðsjón af framkvæmdinni í þeim löndum sem eru bundin af reglugerðinni liggur fyrir að sektir sem eru lagðar á opinbera aðila eru mun lægri en þær sem lagðar eru á stórfyrirtæki með mikla veltu. Einnig er ljóst að þó að unnt sé að sekta fyrir mörg brot, samkvæmt bæði 2. og 3. mgr. 46. gr. laganna, í einu og sama málinu myndi samanlögð sekt fyrir brotin aldrei verða hærri en samkvæmt efri mörkum sektarramma 3. mgr. þeirrar greinar.
Við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af þeim ákvæðum telur Persónuvernd að eftirfarandi atriði verði metin Reykjanesbæ til málsbóta við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera:
1. Ekkert liggur fyrir um að tjón hafi orðið vegna vinnslu persónuupplýsinga grunnskólanemenda Reykjanesbæjar í Google-nemendakerfinu, sbr. 1. tölul. 1. mgr. 47. gr. laganna og a-lið 2. mgr. 83. gr. reglugerðarinnar.
2. Reykjanesbær hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f- og lið 2. mgr. 83. gr. reglugerðarinnar.
3. Eftir að úttektin hófst hefur Reykjanesbær endurskoðað verklag í tengslum við varðveislutíma persónuupplýsinga í Google-nemendakerfinu, hefur takmarkað vinnslu persónuupplýsinga í þágu viðbótarþjónustu Google og framkvæmt mat á áhrifum á persónuvernd vegna vinnslunnar, sbr. 6. tölul. 1. mgr. 47. gr. laganna og f-lið 2. mgr. 83. gr. reglugerðarinnar.
Þá telur Persónuvernd að eftirfarandi atriði leiði frekar til þess að stjórnvaldssekt verði lögð á Reykjanesbæ og hafi áhrif til hækkunar hennar:
1. Brot Reykjanesbæjar þykja alvarleg með hliðsjón af því að þau varða persónuupplýsingar barna í skólastarfi, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.
Persónuupplýsingar barna njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga, sbr. 38. lið formála reglugerðarinnar. Einnig er að líta til þess hvaða möguleika grunnskólanemendur hafa í raun til að hafna eða takmarka vinnslu persónuupplýsinga sinna í upplýsingatæknikerfi sem skóli þeirra hefur tekið ákvörðun um að nota. Að þessu virtu er brýnt að sveitarfélagið hafi yfirsýn yfir þá vinnslu persónuupplýsinga sem fer fram í því kerfi sem það kýs að nota og missi ekki stjórn á persónuupplýsingum barnanna.
2. Brot Reykjanesbæjar þykja alvarleg með hliðsjón af eðli þeirra persónuupplýsinga grunnskólanemenda sem eru unnar í Google-nemendakerfinu, sbr. 1. og 7. tölul. 1. mgr. 47. gr. laganna og a- og g-lið 2. mgr. 83. gr. reglugerðarinnar.
Í fyrsta lagi er heimilt að skrá í kerfið upplýsingar um endurgjöf kennara við verkefni nemenda. Þykir slík vinnsla vera líkleg til að hafa í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, samkvæmt ákvæðum 4. og 9. tölul. 3. gr., sbr. 1. og 2. gr. auglýsingar Persónuverndar nr. 828/2019 um skrár yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.
Í öðru lagi verður einnig að telja að þær persónuupplýsingar, sem felast í verkefnum nemenda og námsmati, geti falið í sér persónuupplýsingar um hrein einkamálefni nemendanna og eru almennt gerðar ríkari kröfur hvað varðar vinnslu slíkra upplýsinga í samræmi við meginreglur um persónuvernd, skv. 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Persónuvernd hefur byggt á því að gera skuli ríkari kröfur til vinnslu persónuupplýsinga um hrein einkamálefni eða upplýsinga viðkvæms eðlis í fyrri niðurstöðum sínum, m.a. í úrskurði stofnunarinnar frá 19. maí 2003, í máli nr. 2003/103, sem svo er vísað til í ákvörðun stofnunarinnar frá 3. maí 2022, í máli nr. 2021040879. Af athugasemdum við 9. gr. frumvarps sem varð að lögum nr. 90/2018 má ráða að það hafi ekki verið vilji löggjafans að bregða frá fyrri framkvæmd hvað þetta varðar.
Í þriðja lagi telur Persónuvernd að með hliðsjón af virkni Google-nemendakerfisins og aldri nemenda standi líkur til þess að viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018, séu skráðar í kerfið, þótt ekkert liggi fyrir um að viðkvæmar persónuupplýsingar grunnskólanemenda Reykjanesbæjar hafi í raun verið skráðar í Google-nemendakerfið.
Áhættan sem fylgir skráningu upplýsinga samkvæmt framangreindu er enn meiri þegar horft er til þeirrar vinnslu persónuupplýsinga sem Google viðhefur samkvæmt eigin skilmálum. Að öllu framangreindu virtu var aðgæsluskylda og ábyrgð Reykjanesbæjar töluvert meiri en ella.
3. Mikil áhætta fylgdi því að persónuupplýsingar væru fluttar til Bandaríkjanna og unnar þar án þess að gripið hefði verið til viðeigandi verndarráðstafana, sbr. dóm Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II), enda höfðu bandarískar eftirlitsstofnanir, á þeim tíma sem um ræðir, víðtækar heimildir að lögum til að nota persónuupplýsingar sem voru fluttar til Bandaríkjanna, án þess að þurfa að gæta að persónuvernd hlutaðeigandi einstaklinga. Brot þar að lútandi telst því alvarlegt, sbr. 1. og 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018 og a- og d-liði 2. mgr. 83. gr. reglugerðar (ESB) 2016/679.
Með hliðsjón af öllu framangreindu og að teknu tilliti til fyrri niðurstaðna Persónuverndar sem lúta að notkun upplýsingatæknikerfa í starfi grunnskóla er það niðurstaða stofnunarinnar að leggja beri stjórnvaldssekt á Reykjanesbæ. Þykir hún hæfilega ákveðin 2.500.000 krónur.
Á k v ö r ð u n a r o r ð:
Vinnsla persónuupplýsinga grunnskólanemenda í Google-nemendakerfinu á vegum Reykjanesbæjar samrýmist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Lagt er fyrir Reykjanesbæ að færa vinnsluna til samræmis við löggjöfina. Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 29. febrúar 2024.
Lögð er 2.500.000 króna stjórnvaldssekt á Reykjanesbæ. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd, 28. nóvember 2023
Ólafur Garðarsson
formaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson